Bir Gevşek Hata Bazı Kullanıcıların 5 Yıldır Hashed Şifrelerini Ortaya Çıkardı


ofis iletişimi platform Slack, kullanımı kolay ve sezgisel olmasıyla bilinir. Ama şirket söz konusu Cuma günü, düşük sürtünmeli özelliklerinden birinin, bazı kullanıcıların şifrelerinin kriptografik olarak karıştırılmış sürümlerini açığa çıkaran, şimdi düzeltilen bir güvenlik açığı içerdiğini duyurdu.

Kullanıcılar, başkalarının belirli bir Slack çalışma alanına kaydolmak için kullanabileceği, “paylaşılan davet bağlantısı” olarak bilinen bir bağlantı oluşturduğunda veya iptal ettiğinde, komut yanlışlıkla bağlantı oluşturucunun karma parolasını o çalışma alanının diğer üyelerine iletti. Hata, 17 Nisan 2017 ile 17 Temmuz 2022 arasındaki beş yıllık bir süre boyunca paylaşılan bir davet bağlantısı oluşturan veya temizleyen herkesin şifresini etkiledi.

Gevşek olan şimdi sahip olunan Salesforce tarafından, bir güvenlik araştırmacısının 17 Temmuz 2022’de şirkete hatayı açıkladığını söylüyor. Şirket, hatalı parolaların Slack’in hiçbir yerinde görünmediğini ve yalnızca Slack’in ilgili şifreli ağ trafiğini aktif olarak izleyen biri tarafından yakalanabileceğini söylüyor. sunucular. Şirket, kusurun bir sonucu olarak herhangi bir parolanın gerçek içeriğinin tehlikeye girmesinin olası olmadığını söylese de, etkilenen kullanıcıları Perşembe günü bilgilendirdi ve tümü için zorunlu parola sıfırlamaları yaptı.

Slack, durumun kullanıcılarının yaklaşık yüzde 0,5’ini etkilediğini söyledi. 2019 yılında şirket söz konusu 10 milyondan fazla günlük aktif kullanıcısı vardı, bu da kabaca 50.000 bildirim anlamına geliyordu. Şimdiye kadar, şirket neredeyse iki katına çıkmış olabilir bu kullanıcı sayısı. Beş yıl boyunca şifreleri açığa çıkan bazı kullanıcılar bugün hala Slack kullanıcısı olmayabilir.

Şirketten yapılan açıklamada, “Hemen bir düzeltme uygulamak için adımlar attık ve hatanın keşfedildiği gün, 17 Temmuz 2022’de bir güncelleme yayınladık” dedi. “Slack, etkilenen tüm müşterileri bilgilendirdi ve etkilenen kullanıcıların şifreleri sıfırlandı.”

Şirket, WIRED’in parolalarda hangi hashing algoritmasını kullandığı veya olayın Slack’in parola yönetimi mimarisinin daha geniş değerlendirmelerini isteyip istemediğine ilişkin basında çıkan sorulara yanıt vermedi.

Güvenlik firması Scythe’de siber tehdit istihbaratı direktörü Jake Williams, “2022’de hala açıkça başarısız tehdit modellemesinin sonucu olan hatalar görmemiz talihsiz bir durum” diyor. “Slack gibi uygulamalar kesinlikle güvenlik testi yapsa da, bunun gibi yalnızca uç durum işlevselliğinde ortaya çıkan hatalar hala gözden kaçıyor. Ve açıkçası, şifreler gibi hassas veriler söz konusu olduğunda riskler çok yüksek.”

Bu durum, aynı zamanda parolalar gibi yüksek değerli verilere erişimi sınırlayan ve sınırlayan esnek ve kullanılabilir web uygulamaları tasarlamanın zorluğunun altını çiziyor. Slack’ten bir bildirim aldıysanız, şifrenizi değiştirin ve iki faktörlü kimlik doğrulama açık. Hesabınızın erişim günlüklerini de görüntüleyebilirsiniz.



Kaynak : https://www.wired.com/story/slack-hashed-passwords-exposed/

Yorum yapın