Slack, password esposte (con hash) per un bug vecchio cinque anni

Slack, password esposte (con hash) per un bug vecchio cinque anni

Un bug presente fin dal 2017 ha consentito l'esposizione degli hash delle password all'interno dei link di condivisione

di pubblicata il , alle 17:31 nel canale Sicurezza
Slack
 

Il servizio di messaggistica e collaborazione Slack ha comunicato allo 0,5% dei suoi utenti di aver forzato un reset delle loro password a seguito della correzione di un bug che esponeva gli hash delle password durante la creazione o la revoca di collegamenti di invito condivisi per le aree di lavoro.

Spiega Slack: "Quando un utente eseguiva una di queste azioni, Slack trasmetteva una versione hash della sua password ad altri membri dell'area di lavoro. Sebbene questi dati siano stati condivisi tramite un collegamento di invito, il client Slack non ha archiviato o visualizzato tali dati ai membri di quell'area di lavoro".

E' stato un ricercatore di sicurezza indipendente a scoprire il bug di sicurezza, rivelato a Slack lo scorso 17 luglio. Si tratta di un problema che è presente da lungo tempo e interessa tutti gli utenti che hanno creato o revocato collegamenti di invito condivisi tra il 17 aprile 2017 e il 17 luglio 2022.

La società sostiene che non vi sia motivo di considerare il bug come strumento per l'accesso alle password in chiaro: "Non abbiamo motivo di credere che qualcuno sia stato in grado di ottenere password in chiaro a causa di questo problema. Tuttavia, per motivi di cautela, abbiamo reimpostato le password Slack degli utenti interessati. Dovranno impostare una nuova password Slack prima di poter accedere nuovamente".

E'  comunque opportuno segnalare che sebbene gli hash non possano essere utilizzati per forzare un'autententicazione e non sia possibile da essi risalire alle password in chiaro, potrebbero ugualmente essere utilizzati per azioni brute-force. Slack suggerisce di controllare il registro accessi del proprio account per verificare eventuali accessi non autorizzati.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sp3cialFx08 Agosto 2022, 19:08 #1
dipende dall'algoritmo usato per calcolare l'hash
se si trattasse di un algoritmo obsoleto come md5 allora il problema di sicurezza ci sarebbe e grosso
se si trattasse di un algoritmo robusto con l'uso di sale allora auguri cari a fare bruteforce (anche perché come prima cosa devi sapere che algoritmo viene usato e... come viene usato: una tecnica semplice ma efficace è di usare l'algoritmo più volte. Calcoli l'hash, l'hash dell'hash e così via. Con sale + iterazioni multiple diventa complicato rompere anche un algoritmo non sicuro come appunto l'md5)
Peppe197008 Agosto 2022, 20:52 #2
Originariamente inviato da: Sp3cialFx
dipende dall'algoritmo usato per calcolare l'hash
se si trattasse di un algoritmo obsoleto come md5 allora il problema di sicurezza ci sarebbe e grosso
se si trattasse di un algoritmo robusto con l'uso di sale allora auguri cari a fare bruteforce (anche perché come prima cosa devi sapere che algoritmo viene usato e... come viene usato: una tecnica semplice ma efficace è di usare l'algoritmo più volte. Calcoli l'hash, l'hash dell'hash e così via. Con sale + iterazioni multiple diventa complicato rompere anche un algoritmo non sicuro come appunto l'md5)


Nahhh!
I computer quantistici lo fanno in un istante...
invece i computer classici decriptano in un istante gli algoritmi di sicurezza
quantistici

E' proprio strano questo mondo
Unrue09 Agosto 2022, 08:43 #3
Originariamente inviato da: Sp3cialFx
dipende dall'algoritmo usato per calcolare l'hash
se si trattasse di un algoritmo obsoleto come md5 allora il problema di sicurezza ci sarebbe e grosso
se si trattasse di un algoritmo robusto con l'uso di sale allora auguri cari a fare bruteforce (anche perché come prima cosa devi sapere che algoritmo viene usato e... come viene usato: una tecnica semplice ma efficace è di usare l'algoritmo più volte. Calcoli l'hash, l'hash dell'hash e così via. Con sale + iterazioni multiple diventa complicato rompere anche un algoritmo non sicuro come appunto l'md5)


L'esposizione dell'hash è comunque una cosa grave, considerando anche che se ne sono accorti dopo ben 5 anni, quindi c'era tutto il tempo per romperlo.
Sp3cialFx09 Agosto 2022, 15:40 #4
Originariamente inviato da: Unrue
L'esposizione dell'hash è comunque una cosa grave, considerando anche che se ne sono accorti dopo ben 5 anni, quindi c'era tutto il tempo per romperlo.


concordo che è grave

dissento sul fatto, per gli argomenti che ho esposto prima, che sia matematico che con quegli hash ci si possa fare qualcosa. Dipende dall'implementazione
Sp3cialFx09 Agosto 2022, 15:41 #5
Originariamente inviato da: Peppe1970
Nahhh!
I computer quantistici lo fanno in un istante...
invece i computer classici decriptano in un istante gli algoritmi di sicurezza
quantistici

E' proprio strano questo mondo


non è strano, è complicato, e quando vedi le cose senza approfondirle si, ti sembrano strane

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^