Slack, çalışma alanları için paylaşılan davet bağlantılarını oluştururken veya iptal ederken bir kusura maruz kalan tuzlu parola karmalarının ardından kullanıcılarının yaklaşık % 0,5’i için parolaları sıfırlama adımını attığını söyledi.
Kurumsal iletişim ve işbirliği platformu “Bir kullanıcı bu eylemlerden herhangi birini gerçekleştirdiğinde, Slack parolalarının karma bir sürümünü diğer çalışma alanı üyelerine iletti” söz konusu 4 Ağustos’ta bir uyarıda.
Hashing, herhangi bir veri biçimini sabit boyutlu bir çıktıya (karma değeri veya basitçe karma olarak adlandırılır) dönüştüren bir şifreleme tekniğini ifade eder. tuzlama kaba kuvvet girişimlerine karşı dirençli hale getirmek için karma işlemine ekstra bir güvenlik katmanı eklemek üzere tasarlanmıştır.
Daha fazlasını bildiren Salesforce’a ait şirket 12 milyon günlük aktif kullanıcı Eylül 2019’da kesin olarak açıklamadı karma algoritma şifreleri korumak için kullanılır.
Hatanın, 17 Nisan 2017 ile 17 Temmuz 2022 arasında, adı açıklanmayan bağımsız bir güvenlik araştırmacısı tarafından uyarıldığı zaman, paylaşılan davet bağlantılarını oluşturan veya iptal eden tüm kullanıcıları etkilediği söyleniyor.
Karma parolaların hiçbir Slack istemcisi tarafından görülmediğini belirtmekte fayda var, yani bilgiye erişim, Slack sunucularından kaynaklanan şifreli ağ trafiğinin aktif olarak izlenmesini gerektiriyordu.
Slack, danışma belgesinde “Bu sorun nedeniyle herhangi birinin düz metin şifreleri elde edebildiğine inanmak için hiçbir nedenimiz yok” dedi. “Ancak, dikkatli olmak adına, etkilenen kullanıcıların Slack şifrelerini sıfırladık.”
Ek olarak, şirket, hesap devralma girişimlerine karşı korunmak ve çevrimiçi hizmetler için benzersiz şifreler oluşturmak için kullanıcılarına iki faktörlü kimlik doğrulamayı açmalarını tavsiye etmek için olayı kullanıyor.