Slack dijo que tomó la medida de restablecer las contraseñas para aproximadamente el 0,5% de sus usuarios después de que una falla expusiera hashes de contraseña salados al crear o revocar enlaces de invitación compartidos para espacios de trabajo.
“Cuando un usuario realizaba cualquiera de estas acciones, Slack transmitía una versión codificada de su contraseña a otros miembros del espacio de trabajo”, la plataforma de comunicación y colaboración empresarial. dijo en una alerta el 4 de agosto.
Hashing se refiere a una técnica criptográfica que transforma cualquier forma de datos en una salida de tamaño fijo (llamada valor hash o simplemente hash). Salazón está diseñado para agregar una capa de seguridad adicional al proceso de hash para que sea resistente a los intentos de fuerza bruta.
La empresa propiedad de Salesforce, que reportó más de 12 millones de usuarios activos diarios en septiembre de 2019, no reveló el exacto algoritmo hash utilizado para salvaguardar las contraseñas.
Se dice que el error afectó a todos los usuarios que crearon o revocaron enlaces de invitación compartidos entre el 17 de abril de 2017 y el 17 de julio de 2022, cuando un investigador de seguridad independiente no identificado alertó sobre el problema.
Vale la pena señalar que las contraseñas codificadas no eran visibles para ningún cliente de Slack, lo que significa que el acceso a la información requería un monitoreo activo del tráfico de red encriptado que se originaba en los servidores de Slack.
“No tenemos motivos para creer que alguien pudo obtener contraseñas de texto sin formato debido a este problema”, señaló Slack en el aviso. “Sin embargo, por precaución, hemos restablecido las contraseñas de Slack de los usuarios afectados”.
Además, la empresa está utilizando el incidente para aconsejar a sus usuarios que activen la autenticación de dos factores como un medio para protegerse contra los intentos de apropiación de cuentas y crear contraseñas únicas para los servicios en línea.
About the Author
