ofis iletişimi platform Slack, kullanımı kolay ve sezgisel olmasıyla bilinir. Ancak şirket Cuma günü yaptığı açıklamada, düşük sürtünmeli özelliklerinden birinin, bazı kullanıcıların şifrelerinin kriptografik olarak karıştırılmış sürümlerini açığa çıkaran, şimdi düzeltilen bir güvenlik açığı içerdiğini söyledi.
Kullanıcılar, “Paylaşılan Davet Bağlantısı” olarak bilinen ve başkalarının belirli bir Slack çalışma alanına kaydolmak için kullanabileceği bir bağlantı oluşturduğunda veya iptal ettiğinde, komut yanlışlıkla bağlantı oluşturucunun karma parolasını o çalışma alanının diğer üyelerine iletti. Hata, 17 Nisan 2017 ile 17 Temmuz 2022 arasındaki beş yıllık bir süre boyunca bir Paylaşılan Davet Bağlantısı oluşturan veya temizleyen herkesin şifresini etkiledi.
Şu anda Salesforce’a ait olan Slack, bir güvenlik araştırmacısının 17 Temmuz 2022’de şirkete hatayı açıkladığını söylüyor. Şirket, hatalı şifrelerin Slack’in hiçbir yerinde görünmediğini ve yalnızca aktif olarak izleyen biri tarafından yakalanabileceğini söylüyor. Slack sunucularından ilgili şifreli ağ trafiği. Şirket, kusurun bir sonucu olarak herhangi bir parolanın gerçek içeriğinin tehlikeye girmesinin olası olmadığını söylese de, etkilenen kullanıcıları Perşembe günü bilgilendirdi ve tümü için zorunlu parola sıfırlamaları yaptı.
Slack, durumun kullanıcılarının yaklaşık yüzde 0,5’ini etkilediğini söyledi. 2019’da şirket, günlük 10 milyondan fazla aktif kullanıcıya sahip olduğunu ve bunun kabaca 50.000 bildirim anlamına geleceğini söyledi. Şimdiye kadar, şirket bu kullanıcı sayısının neredeyse iki katına sahip olabilir. Beş yıl boyunca şifreleri açığa çıkan bazı kullanıcılar bugün hala Slack kullanıcısı olmayabilir.
Şirketten yapılan açıklamada, “Hemen bir düzeltme uygulamak için adımlar attık ve hatanın keşfedildiği gün, 17 Temmuz 2022’de bir güncelleme yayınladık” dedi. “Slack, etkilenen tüm müşterileri bilgilendirdi ve etkilenen kullanıcıların şifreleri sıfırlandı.”
Şirket, WIRED’in parolalarda hangi hashing algoritmasını kullandığı ve olayın Slack’in parola yönetimi mimarisine ilişkin daha geniş değerlendirmeler isteyip istemediğine ilişkin basına kadar gelen sorulara yanıt vermedi.
Güvenlik firması Scythe’de siber tehdit istihbaratı direktörü Jake Williams, “2022’de hala açıkça başarısız tehdit modellemesinin sonucu olan hatalar görmemiz talihsiz bir durum” diyor. “Slack gibi uygulamalar kesinlikle güvenlik testi yapsa da, bunun gibi yalnızca uç durum işlevselliğinde ortaya çıkan hatalar hala gözden kaçıyor. Ve açıkçası, şifreler gibi hassas veriler söz konusu olduğunda riskler çok yüksek.”
Bu durum, aynı zamanda silo için tasarlanmış ve şifreler gibi yüksek değerli verilere erişimi sınırlayan esnek ve kullanılabilir web uygulamaları tasarlamanın zorluğunun altını çiziyor. Slack’ten bir bildirim aldıysanız, şifrenizi değiştirin ve iki faktörlü kimlik doğrulamanın açık olduğundan emin olun. Hesabınızın erişim günlüklerini de görüntüleyebilirsiniz.