Slack heeft onmiddellijk een patch toegepast en alle getroffen gebruikers een melding gestuurd om zijn of haar wachtwoord te resetten.
Het probleem zit volgens Slack in het aanvragen van een wachtwoord resetlink. Wanneer een gebruiker zo’n link aanmaakt of weigert, is je wachtwoord zichtbaar. Gelukkig niet in plaintext, dat zou dramatisch zijn, maar wel hashed en salted.
Volgens Slack is het bijna onmogelijk om een wachtwoord uit zo’n combinatie te halen. Dat neemt niet weg dat hackers via brute-forcemethodes prima het wachtwoord kunnen extraheren. Het probleem bestaat al sinds 17 april 2017 en werd op 17 juli 2022 gemitigeerd.
Slack claimt dat amper 0,5 procent van de gebruikers getroffen zijn. Dat klinkt weinig, tot je weet dat het communicatieplatform in 2020 nog 12 miljoen dagelijks actieve gebruikers had. Dat zou betekenen dat er ongeveer 600.000 gebruikers getroffen zijn. Hoeveel gebruikers vandaag Slack actief gebruiken, deelt moederbedrijf Salesforce niet mee. Die laatste nam Slack eind 2020 over.
Wachtwoord reset voor elke getroffen gebruiker
Veiligheidsonderzoekers namen contact op met Slack op 17 juli 2022 om de fout te melden. Het communicatieplatform nam onmiddellijk maatregelen alvorens de schaal van de impact in te schatten. “We hebben geen enkele reden om te geloven dat iemand plaintext-wachtwoorden heeft kunnen ontfutselen door dit probleem”, claimt Slack.
lees ook
Wat is MFA en hoe veilig is het echt?
Desondanks die claim heeft het toch voor de zekerheid de wachtwoorden van alle getroffen gebruikers gereset. Tegelijk raadt Slack ook aan om MFA in te schakelen en altijd te werken met unieke wachtwoorden.
We raden IT-teams voor de zekerheid aan om de toegangslogbestanden na te kijken van de getroffen gebruikers.