2min Security

Slack reset wachtwoorden van gebruikers na bug

Slack reset wachtwoorden van gebruikers na bug

Slack heeft de wachtwoorden van ongeveer een half procent van de gebruikers gereset. Dit vanwege een bug waarbij een ‘hashed’ versie van een wachtwoord naar andere deelnemers in een wokspace werd verstuurd.

Volgens Slack werd eind vorige week door een securityonderzoeker een bug ontdekt die van grote invloed was op wachtwoorden. De kwetsbaarheid veroorzaakte dat een ‘hashed’ wachtwoord onbedoeld naar andere deelnemers binnen dezelfde workspace van gebruikers verstuurd werd. Dit gebeurde wanneer een eindgebruiker gedeelde invitatielinks voor workspaces aanmaakte of introk.

Hashed is een cryptografische techniek voor het opslaan van data op een veilige manier en de data niet kan worden ingezien. Het betekent dat in het geval van een hashed wachtwoord anderen niet het wachtwoord uit de hash kunnen halen en zo de hash te misbruiken.

Half procent van eindgebruikers

De gevonden kwetsbaarheid betrof alle eindgebruikers die tussen 17 april 2017 en 17 juli 2022 uitnodigingslinks voor workspaces hadden aangemaakt of ingetrokken. In totaal ging het hierbij om een half procent van het totaal aantal eindgebruikers van het collaborationplatform

Niet zichtbaar geweest

Volgens Slack zijn de betroffen hashed passwords niet zichtbaar geweest voor gebruikers. Om deze hashed passwords te zien is actieve monitoring van het versleutelde netwerkverkeer van de servers van Slack nodig. Ook geeft het collaborationplatform aan dat niet is gebleken dat hackers misbruik hebben gemaakt om ‘plaintext’-wachtwoorden te verkrijgen.

Desondanks heeft het collaborationplatform voor de getroffen gebruikers toch het wachtwoord een reset gegeven. Zij hebben hier onlangs een notificatie van gehad. Voordat zij opnieuw inloggen, moeten zij eerst een nieuw wachtwoord aanmaken. Ook adviseert Slack two-factor-authenticatie toe te passen.

Tip: Slack verhoogt de prijzen; ook veranderingen voor gratis versie