Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ
(Slack のブログ記事、
The Register の記事)。
この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。
このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
| セキュリティ
| バグ
| 暗号
| IT
|
関連ストーリー:
Slackが値上げ、フリープランの履歴閲覧も90日に制限へ
2022年07月20日
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して
2021年02月09日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性
2020年09月09日
WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃
2017年05月21日
サンリオタウン、アカウント情報330万件が公開状態になっていた
2015年12月23日
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数
2015年09月18日
統計によるパスワードクラック
2015年04月18日
Source: スラッシュドット