Falla en Slack permite a miembros de un área de trabajo acceder a archivos de canales privados

Se ha descubierto que la popular aplicación de mensajería Slack contiene una falla de seguridad que permite a los miembros de un espacio de trabajo acceder a documentos privados no compartidos abiertamente.

Entendiendo la vulnerabilidad

Slack permite a los usuarios compartir archivos en canales públicos o privados. Si se comparte un archivo privado en una conversación, cualquiera que sea parte de ella puede verlo.

· Lo que debería ocurrir es que cuando alguien abandona la conversación, no pueda acceder al archivo privado, pero no es así.

· En caso de que alguien en la conversación privada comparta el archivo con una conversación diferente, los miembros de esa conversación podrán ver el archivo.

· Investigadores de Polyrize, empresa de seguridad israelí que descubrió la vulnerabilidad, señalaron que esta falla se podía verificar en la interfaz de usuario de Slack, así como haciendo las llamadas API asociadas.

· Slack confirmó la falla pero dice que aplica solo a cierto tipos de archivos.

¿Cómo evitar ser víctima?

Una manera fácil de evitar ser una víctima es no compartir nada sensible a través de Slack -a menos que confíe en las personas en la conversación para no compartir el archivo sin permiso-, de todos modos, la precaución es una buena herramienta siempre.

«Debido al hecho de que los usuarios de Slack solo pueden estar al tanto de las conversaciones privadas de las que son miembros, los propietarios de los archivos no tienen forma de decir que sus archivos fueron compartidos en otras conversaciones privadas», dijo el equipo de Polyrize.

Desde Slack afirmaron que: «Apreciamos que la presencia del botón para compartir es confusa ya que cambiamos la forma en que los comentarios funcionan para los fragmentos y las publicaciones. Estamos planeando corregir la interfaz, pero el modelo de seguridad para compartir fragmentos y publicaciones en Slack continuará funcionando como lo hace hoy».

Los investigadores de seguridad señalaron que esta vulnerabilidad en Slack es otro ejemplo de las formas en que los actores maliciosos pueden robar datos confidenciales. Las empresas a menudo tienen una visibilidad muy pobre de cómo se almacenan, usan y manipulan sus datos confidenciales, por ende se torna fundamental crear políticas respecto el uso de datos sensibles en plataformas en la nube.