Noticias, vulnerabilidad

Slack restablece las contraseñas de sus usuarios debido a una vulnerabilidad

agosto 8, 2022
El error, que pasó desapercibido durante cinco años, afecta al menos a 60.000 usuarios. Slack restableció las contraseñas de algunos usuarios luego de que se alertara sobre una vulnerabilidad que expusiera hashes de contraseñas otros miembros del espacio de trabajo. La plataforma de mensajería corporativa afirmó que se solucionó el error, el cual consistía en […]

El error, que pasó desapercibido durante cinco años, afecta al menos a 60.000 usuarios.

Slack restableció las contraseñas de algunos usuarios luego de que se alertara sobre una vulnerabilidad que expusiera hashes de contraseñas otros miembros del espacio de trabajo.

La plataforma de mensajería corporativa afirmó que se solucionó el error, el cual consistía en una funcionalidad de enlace de invitación compartida, que permitir que otros se unan a un espacio de trabajo de Slack.

Cuando un usuario realizaba cualquiera de estas acciones, Slack transmitía una versión codificada de su contraseña a otros miembros del espacio de trabajo

Comunicado de Slack

La compañía además anunció que solucionó el error el mismo día que se descubrió, y posteriormente notificó a los usuarios afectados que sus contraseñas se restablecieron.

La vulnerabilidad, que fue descubierta por un investigador de seguridad independiente, y divulgada a Slack el 17 de julio, afecta al menos a 60.000 usuarios, algo así como el 0,5% de usuarios totales.

Slack tiene más de 169.000 clientes empresariales de pago, pero no ha revelado su base de usuarios activos diarios desde que reportó más de 12 millones en septiembre de 2019.

La compañía dijo que la contraseña codificada no se almacenó ni se mostró en ningún cliente de Slack, y el descubrimiento requirió un monitoreo activo del tráfico de red encriptado.

“Usamos una técnica llamada salting para proteger aún más estos hashes”, afirmó Slack en el comunicado.

“Las contraseñas con hash y salting son seguras, pero no perfectas; aún están sujetas a ser revertidas por fuerza bruta, por lo que hemos elegido restablecer las contraseñas de todos los afectados”.

slack

Comparte este Artículo

Artículos relacionados

Noticias
Recientes infecciones de Emotet explotan macros de Excel
 8 de agosto de 2022

Las intrusiones recientes de Emotet han revelado el uso de macros ofuscadas de Excel para descargar y ejecutar el cargador. En intrusiones recientes, este se ejecutó utilizando regsvr32[.]exe.
Noticias, Phishing
Ataques de ”adversario en el medio” apunta a servicios de correo electrónico para eludir MFA
 10 de agosto de 2022

Se detectó una campaña de phishing a gran escala que utiliza técnicas Adversary in the Middle (AitM) para eludir las protecciones de seguridad. El objetivo es comprometer cuentas de correo corporativas y lograr explotarlas.