Na última sexta-feira (12), a plataforma de comunicação Slack avisou que seu sistema havia uma falha. O Slack é conhecido por ser uma rede de comunicação de fácil acesso e bem intuitiva. Neste comunicado, o portal informava que foram expostas versões criptograficamente embaralhadas das senhas de alguns usuários.

Assim que seus utilizadores criavam ou revogavam um link, nomeado de “link de convite compartilhado”, que outras pessoas conseguiam utilizá-lo para se inscrever em um algum workspace do Slack, o comando acabava enviando de forma indevida a senha com hash do criador do link para os outros users desse workspace.

Este bug prejudicou a senha de qualquer pessoa que fez ou limpou um link de convite compartilhado entre o dia 17 de abril de 2017 até 17 de julho de 2022.

Vale lembrar que a empresa Salesforce é dona do Slack, e segundo um pesquisador de segurança, essa falha foi descoberta pela empresa em 17 de julho de 2022. Ainda de acordo com a empresa, as senhas não eram visíveis em nenhum lugar do Slack, e só poderiam ter sido apreendidas por alguém monitorando ativamente tráfego de rede criptografado relevante dos servidores do Slack. 

Em um comunicado, o Slack avisou a todos seus usuários do erro, porém reforçou que é improvável que o conteúdo real de qualquer senha tenha sido comprometido como resultado da falha.

Além disso, o Slack relatou que essa vulnerabilidade atingiu apenas 0,5% de seus usuários e que, em 2019, possuía mais de 10 milhões de usuários ativos diariamente, o que significaria cerca de 50 mil notificações. 

Em um comunicado, a empresa relatou: “Imediatamente tomamos medidas para implementar uma correção e lançamos uma atualização no mesmo dia em que o bug foi descoberto, em 17 de julho de 2022. O Slack informou todos os clientes afetados e as senhas dos usuários afetados foram redefinidas.”

Ilustração do logo do Slack
II.studio/Shutterstock

“É lamentável que em 2022 ainda estejamos vendo bugs que são claramente o resultado de modelagem de ameaças com falha”, afirmou Jake Williams, diretor de inteligência de ameaças cibernéticas da empresa de segurança Scythe. 

“Embora aplicativos como o Slack definitivamente realizem testes de segurança, bugs como esse que só aparecem na funcionalidade de casos extremos ainda são perdidos. E, obviamente, as apostas são muito altas quando se trata de dados confidenciais, como senhas” finalizou Williams.

Caso você tenha recebido uma notificação do Slack, altere sua senha e verifique se a autenticação de dois fatores está ativada. Você também pode visualizar os logs de acesso da sua conta.

Via: Wired

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!