Slack, çalışma alanları için paylaşılan davet bağlantılarını oluştururken veya iptal ederken salted parola karmalarını açığa çıkaran bir hatayı düzelttikten sonra kullanıcılarının yaklaşık %0,5’ini parolalarını sıfırladığını bildirdi.
BleepingComputer tarafından bildirilen Slack, “bir kullanıcı bu eylemlerden herhangi birini gerçekleştirdiğinde, Slack diğer çalışma alanı üyelerine parolalarının karma bir sürümünü (düz metin değil) iletti” dedi.
“Bu veriler yeni veya devre dışı bırakılmış davet bağlantısı aracılığıyla paylaşılsa da, Slack istemcisi bu verileri o çalışma alanının üyelerine saklamadı veya göstermedi.”
Bağımsız bir güvenlik araştırmacısı, hatayı 17 Temmuz’da Slack’e açıkladı. Bu sorun, 17 Nisan 2017 ile 17 Temmuz 2022 arasında paylaşılan davetiye oluşturan veya iptal eden tüm kullanıcıları etkiledi.
Bu açık bilgilere erişmek için Slack sunucularından gelen şifreli ağ trafiğinin aktif olarak izlenmesi gerektiğinden, karma parolalar Slack istemcileri tarafından görülmüyordu.
Şirket, hatanın düzeltilmeden önce düz metin şifrelere erişim sağlamak için kullanıldığını düşünmek için hiçbir neden olmadığını da sözlerine ekledi. T
Perşembe günü Slack, “Bu sorun nedeniyle herhangi birinin düz metin şifreleri alabildiğine inanmak için hiçbir nedenimiz yok” dedi şirket Perşembe günü.
“Ancak dikkatli olmak adına, etkilenen kullanıcıların Slack şifrelerini sıfırladık. Tekrar giriş yapabilmeleri için yeni bir Slack şifresi belirlemeleri gerekecek.”
Slack, etkilenen kullanıcılara gönderilen ve kaba kuvvet yoluyla geri alınabilecek olan güvenlik bildirimlerini ekledi.
Şirket şu uyarıda bulundu: “Karma şifreler güvenlidir, ancak mükemmel değildir – hala kaba kuvvet yoluyla tersine çevrilebilirler – bu yüzden etkilenen herkesin şifrelerini sıfırlamayı seçtik.”
Slack, 150’den fazla ülkeden 169.000’den fazla ödeme yapan müşteriye sahiptir.