Slack 通知大约 0.5% 的用户,它在修复了在创建或撤销工作区的共享邀请链接时暴露了加盐密码哈希的错误后重置了他们的密码。
“当用户执行这些操作中的任何一个时,Slack 会将其密码的散列版本(不是明文)传输给其他工作区成员,”Slack 告诉 ZZQIDC。
“虽然这些数据是通过新的或停用的邀请链接共享的,但 Slack 客户端并未存储或向该工作区的成员显示这些数据。”
该漏洞是由一位独立安全研究人员发现的,他于 7 月 17 日向 Slack 披露了该漏洞。该问题影响了在 2017 年 4 月 17 日至 2022 年 7 月 17 日期间创建或撤销共享邀请链接的所有用户。
据 Slack 称,幸运的是,散列密码对 Slack 客户端不可见,主动监控来自 Slack 服务器的加密网络流量需要访问这些暴露的信息。
没有暴露明文密码
Slack 还补充说,没有理由认为该漏洞被用于在修复之前获得对明文密码的访问权限。
该公司周四表示: “我们没有理由相信任何人都能够因为这个问题而获得明文密码 。”
“但是,为了谨慎起见,我们已经重置了受影响用户的 Slack 密码。他们需要设置新的 Slack 密码才能再次登录。”
同样重要的是要提到,尽管哈希不能用于身份验证并且尝试反转它们是不可行的(对于某些哈希算法),Slack 在发送给受影响用户的安全通知中添加了哈希仍然可以通过蛮力反转。
“散列密码是安全的,但并不完美——它们仍然会被暴力破解——这就是为什么我们选择重置每个受影响的人的密码,”Slack 警告说。
ZZQIDC 联系 Slack 以获取有关用于生成密码散列的散列算法的更多信息,但在本文发表之前未收到回复。
为确保您的帐户不被盗用,您可以 在此处访问个人访问日志。Slack 还建议所有用户启用 双重身份验证 并创建不用于其他在线服务的唯一密码。
Slack 表示 ,它拥有来自 150 多个国家/地区的 169,000 多名付费客户,其中 65 家财富 100 强公司使用其服务。
