Slack, çalışma alanları için paylaşılan davet bağlantılarını oluştururken veya iptal ederken bir kusura maruz kalan tuzlu parola karmalarının ardından kullanıcılarının yaklaşık % 0,5’i için parolaları sıfırlama adımını attığını söyledi.
Kurumsal iletişim ve işbirliği platformu 4 Ağustos’ta bir uyarıda, “Bir kullanıcı bu eylemlerden herhangi birini gerçekleştirdiğinde, Slack parolalarının karma bir sürümünü diğer çalışma alanı üyelerine iletti” dedi.
Hashing, herhangi bir veri biçimini sabit boyutlu bir çıktıya (karma değeri veya basitçe karma olarak adlandırılır) dönüştüren bir şifreleme tekniğini ifade eder. Tuzlama, kaba kuvvet girişimlerine karşı dirençli hale getirmek için karma işlemine ekstra bir güvenlik katmanı eklemek üzere tasarlanmıştır.
Eylül 2019’da günlük 12 milyondan fazla aktif kullanıcı bildiren Salesforce’a ait şirket, şifreleri korumak için kullanılan tam karma algoritmayı açıklamadı.
Hatanın, 17 Nisan 2017 ile 17 Temmuz 2022 arasında, adı açıklanmayan bağımsız bir güvenlik araştırmacısı tarafından uyarıldığı zaman, paylaşılan davet bağlantılarını oluşturan veya iptal eden tüm kullanıcıları etkilediği söyleniyor.
Karma şifrelerin hiçbir Slack istemcisi tarafından görülmediğini belirtmekte fayda var, yani bilgiye erişim, Slack’in sunucularından kaynaklanan şifreli ağ trafiğinin aktif olarak izlenmesini gerektiriyordu.
Slack, danışma belgesinde “Bu sorun nedeniyle herhangi birinin düz metin şifreleri elde edebildiğine inanmak için hiçbir nedenimiz yok” dedi. “Ancak, dikkatli olmak adına, etkilenen kullanıcıların Slack şifrelerini sıfırladık.”
Ek olarak, şirket, hesap devralma girişimlerine karşı korunmak ve çevrimiçi hizmetler için benzersiz şifreler oluşturmak için kullanıcılarına iki faktörlü kimlik doğrulamayı açmalarını tavsiye etmek için olayı kullanıyor.