[ad_1]
La comunicación de la oficina La plataforma Slack es conocida por ser fácil e intuitiva de usar. Pero la compañía dijo el viernes que una de sus funciones de baja fricción contenía una vulnerabilidad ahora reparada que exponía versiones encriptadas criptográficamente de las contraseñas de algunos usuarios.
Cuando los usuarios creaban o revocaban un enlace, conocido como «enlace de invitación compartido», que otros podían usar para registrarse en un espacio de trabajo específico de Slack, el comando también enviaba sin darse cuenta la contraseña cifrada del creador del enlace a otros miembros de ese espacio de trabajo. El error afectó la contraseña de cualquier persona que creó o eliminó un enlace de invitación compartido durante un período de cinco años, entre el 17 de abril de 2017 y el 17 de julio de 2022.
Slack, ahora propiedad de Salesforce, dice que un investigador de seguridad informó el error a la empresa el 17 de julio de 2022. Las contraseñas rotas no estaban visibles en ningún lugar de Slack, señala la compañía, y solo podrían haber sido capturadas por alguien que monitoreara activamente el tráfico de red encriptado relevante desde los servidores de Slack. Aunque la compañía dice que es poco probable que el contenido real de las contraseñas se haya visto comprometido como resultado de la falla, notificó a los usuarios afectados el jueves y forzó el restablecimiento de contraseñas para todos.
Según Slack, la situación afectó a alrededor del 0,5 por ciento de sus usuarios. En 2019, la empresa dijo que tenía más de 10 millones de usuarios activos diarios, lo que significaría aproximadamente 50.000 notificaciones. A estas alturas, es posible que la empresa casi haya duplicado esa cantidad de usuarios. Es posible que algunos usuarios cuyas contraseñas estuvieron expuestas durante los cinco años no sean usuarios de Slack en la actualidad.
«Tomamos medidas inmediatas para implementar una solución y lanzamos una actualización el mismo día que se descubrió el error, el 17 de julio de 2022», dijo la compañía en un comunicado. «Slack ha notificado a todos los clientes afectados y se han restablecido las contraseñas de los usuarios afectados».
La compañía no respondió a las preguntas de WIRED hasta el momento de la publicación sobre qué algoritmo hash usa para las contraseñas, o si el incidente ha provocado revisiones más amplias de la arquitectura de administración de contraseñas de Slack.
“Es desafortunado que en 2022 sigamos viendo errores que son claramente el resultado de un modelo de amenazas fallido”, dijo Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. “Si bien las aplicaciones como Slack definitivamente están realizando pruebas de seguridad, los errores como este, que solo aparecen en casos extremos, todavía se pasan por alto. Y, por supuesto, hay mucho en juego cuando se trata de datos confidenciales como contraseñas”.
La situación subraya el desafío de diseñar aplicaciones web flexibles y utilizables que también aíslen y restrinjan el acceso a datos de alto valor, como las contraseñas. Si recibió una notificación de Slack, cambie su contraseña y asegúrese de tener habilitada la autenticación de dos factores. También puede ver los registros de acceso de su cuenta.
[ad_2]