Slack cho biết họ đã thực hiện bước đặt lại mật khẩu cho khoảng 0,5% người dùng sau khi một lỗ hổng làm lộ ra các hàm băm mật khẩu mặn khi tạo hoặc thu hồi các liên kết lời mời được chia sẻ cho không gian làm việc.
“Khi người dùng thực hiện một trong hai hành động này, Slack đã truyền phiên bản băm mật khẩu của họ tới các thành viên không gian làm việc khác”, nền tảng cộng tác và giao tiếp doanh nghiệp cho biết trong một cảnh báo vào ngày 4 tháng 8.
Hashing đề cập đến một kỹ thuật mật mã chuyển đổi bất kỳ dạng dữ liệu nào thành đầu ra có kích thước cố định (được gọi là giá trị băm hoặc đơn giản là băm). Salting được thiết kế để thêm một lớp bảo mật bổ sung vào quá trình băm để làm cho nó chống lại các nỗ lực vũ phu.
Công ty thuộc sở hữu của Salesforce, đã báo cáo hơn 12 triệu người dùng hoạt động hàng ngày vào tháng 9 năm 2019, đã không tiết lộ thuật toán băm chính xác được sử dụng để bảo vệ mật khẩu.
Lỗi này được cho là đã ảnh hưởng đến tất cả người dùng đã tạo hoặc thu hồi các liên kết lời mời được chia sẻ trong khoảng thời gian từ ngày 17 tháng 4 năm 2017 đến ngày 17 tháng 7 năm 2022, khi nó được cảnh báo về vấn đề này bởi một nhà nghiên cứu bảo mật độc lập giấu tên.
Điều đáng chú ý là các mật khẩu đã băm không hiển thị cho bất kỳ ứng dụng khách nào của Slack, có nghĩa là quyền truy cập vào thông tin cần có sự giám sát tích cực của lưu lượng mạng được mã hóa bắt nguồn từ các máy chủ của Slack.
“Chúng tôi không có lý do gì để tin rằng bất kỳ ai cũng có thể lấy được mật khẩu văn bản rõ vì vấn đề này,” Slack lưu ý trong lời khuyên. “Tuy nhiên, vì lý do thận trọng, chúng tôi đã đặt lại mật khẩu Slack của người dùng bị ảnh hưởng.”
Ngoài ra, công ty đang sử dụng sự cố để khuyên người dùng của mình bật xác thực hai yếu tố như một phương tiện để bảo vệ khỏi các nỗ lực chiếm đoạt tài khoản và tạo mật khẩu duy nhất cho các dịch vụ trực tuyến.
.
