image

Slack reset wachtwoord gebruikers na lekken van hashes in uitnodigingslinks

maandag 8 augustus 2022, 09:40 door Redactie, 1 reacties
Laatst bijgewerkt: 08-08-2022, 14:48

Slack heeft van tienduizenden gebruikers het wachtwoord gereset omdat het bedrijf de wachtwoordhashes van deze gebruikers had gelekt. Dat heeft het bedrijf zelf bekendgemaakt. Het probleem deed zich voor bij het aanmaken of intrekken van uitnodigingslinks voor workspaces. Slack biedt gebruikers de mogelijkheid om anderen voor hun workspace uit te nodigen. Via de workspace kan er worden samengewerkt.

Bij het intrekken of aanmaken van de uitnodigingslinks verstuurde Slack het gehashte wachtwoord van de gebruiker naar andere gebruikers van de betreffende workspace. Volgens Slack waren de gehashte wachtwoorden niet zichtbaar in de Slack-clients. Om de hashes te kunnen zien moest het netwerkverkeer afkomstig van Slack actief worden gemonitord. De bug werd op 17 juli aan Slack gerapporteerd en was sinds 17 april 2017 in de code van het bedrijf aanwezig.

Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een systeem of website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren.

Het is mogelijk om hashes te kraken en zo het wachtwoord te achterhalen. Slack zegt dat het geen reden heeft om aan te nemen dat de plain text wachtwoorden van getroffen gebruikers zijn achterhaald, maar heeft "uit voorzorg" toch besloten om van alle gedupeerde gebruikers het wachtwoord te resetten. Slack zegt dat het om een 0,5 procent van alle gebruikers gaat. In 2019 meldde Slack dat het meer dan tien miljoen actieve gebruikers heeft.

Reacties (1)
08-08-2022, 10:41 door Anoniem
Correctie: de bug bestond sinds 17 april 2017, niet 17 april dit jaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.