Een onderzoeker van het HackerOne platform, waar hackers een compensatie kunnen krijgen voor het aangeven van bugs, ontdekte een kritieke kwetsbaarheid in Slack. De kwetsbaarheid maakte het voor hackers mogelijk om in te breken in sessies en zelfs hele accounts over te nemen.
De kwetsbaarheid had het potentieel om grote gevolgen te hebben voor Slack-gebruikers en kreeg een CVSS severity score van 9,3. Gelukkig ging Slack goed om met de ontdekte bug. Zodra de kwetsbaarheid bekend werd, sprong het team van Slack er meteen op en patchte de fout in slechts enkele uren.
Binnen 24 uur kwam Slack met een patch die de kwetsbaarheid oploste. Evan Custodio, de onderzoeker die de kwetsbaarheid ontdekte, kreeg een beloning van ruim €5800,- voor zijn ontdekking. Op zijn plaats prees Custodio Slack voor de uitstekende reactie op de kwetsbaarheid.
HTTP Request Smuggling bug
Custodio vond een HTTP Request Smuggling kwetsbaarheid in een asset die kwaadwillenden konden gebruiken om mensen om te leiden. Als gevolg konden hackers gebruikerssessie-cookies stelen om zo toegang te krijgen tot accounts en sessies van Slack-gebruikers.
Custodio testte de omvang van de kwetsbaarheid door een aangepaste tool te gebruiken. Hij ontdekte dat het mogelijk was het hack te automatiseren en zo enorme hoeveelheden sessiecookies en data te verzamelen.
“Met deze bug zou het eenvoudig zijn voor iemand met kwade bedoelingen om bots te creëren die de aanval constant uitvoeren. Hackers kunnen constant inbreken in sessies van slachtoffers en alle data binnen handbereik stelen”, aldus Custodio.
Ernstige potentiële gevolgen
Veel bedrijven maken gebruik van Slack voor hun interne communicatie. Als hackers misbruik hadden gemaakt van de kwetsbaarheid, had dat tot ernstige gevolgen kunnen leiden. Kwaadwillenden hadden kunnen inbreken in de gesprekken van grote bedrijven en privégesprekken van bedrijven bekend kunnen maken. Dankzij het snelle handelen van Slack is dit alles niet gebeurd.
Het is niet de eerste keer dat er een beveiligingsfout in Slack werd ontdekt. Zo loste Slack vorig jaar een fout op in het Windows desktop programma die ervoor kon zorgen dat aanvallers data konden stelen. Ook bij deze fout zorgde het team van Slack voor een snelle oplossing.