A plataforma de comunicação de escritório Slack é conhecida por ser fácil e intuitiva de usar. Mas a empresa disse na sexta-feira que um de seus recursos de baixo atrito continha uma vulnerabilidade, agora corrigida, que expunha versões criptograficamente embaralhadas das senhas de alguns usuários.
Quando os usuários criavam ou revogavam um link – conhecido como “link de convite compartilhado” – que outros poderiam usar para se inscrever em um determinado workspace do Slack, o comando também transmitia o link inadvertidamente senha com hash do criador para outros membros desse espaço de trabalho. A falha afetou a senha de qualquer pessoa que criou ou limpou um link de convite compartilhado por um período de cinco anos, entre 17 de abril de 2017 e 17 de julho de 2022.
Slack, que agora é propriedade da Salesforce, diz que um pesquisador de segurança divulgou o bug para a empresa em 17 de julho de 2022. As senhas erradas não eram visíveis em nenhum lugar do Slack, observa a empresa, e só poderiam ter sido apreendidas por alguém monitorando ativamente a rede criptografada relevante tráfego dos servidores do Slack. Embora a empresa diga que é improvável que o conteúdo real de qualquer senha tenha sido comprometido como resultado da falha, ela notificou os usuários afetados na quinta-feira e forçou a redefinição de senha para todos eles.
O Slack disse que a situação afetou cerca de 0,5% de seus usuários. Em 2019, a empresa disse que tinha mais de 10 milhões de usuários ativos diários, o que significaria cerca de 50.000 notificações. Até agora, a empresa pode ter quase dobrado esse número de usuários. Alguns usuários que tiveram senhas expostas ao longo dos cinco anos podem não ser usuários do Slack ainda hoje.
“Nós imediatamente tomamos medidas para implementar uma correção e lançamos uma atualização no mesmo dia em que o bug foi descoberto, em 17 de julho de 2022”, disse a empresa em comunicado. “O Slack informou todos os clientes afetados e as senhas dos usuários afetados foram redefinidas.”
A empresa não respondeu às perguntas da WIRED até o momento sobre qual algoritmo de hash foi usado as senhas ou se o incidente provocou avaliações mais amplas da arquitetura de gerenciamento de senhas do Slack.
“É uma pena que em 2022 ainda estejamos vendo bugs que são claramente o resultado de uma ameaça falhada modelagem”, diz Jake Williams, diretor de inteligência de ameaças cibernéticas da empresa de segurança Scythe. “Embora aplicativos como o Slack definitivamente realizem testes de segurança, bugs como esse que só aparecem na funcionalidade de casos extremos ainda são perdidos. E, obviamente, os riscos são muito altos quando se trata de dados confidenciais, como senhas.”
A situação ressalta o desafio de projetar aplicativos da Web flexíveis e utilizáveis que também isolam e limitam o acesso a dados de alto valor como senhas. Se você recebeu uma notificação do Slack, altere sua senha e verifique se a autenticação de dois fatores está ativada. Você também pode visualizar os logs de acesso da sua conta.
