Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeNews

Slack schließt jahrelanges Datenleck

✇Linux-Magazin
Von: Moritz Tremmel
10. August 2022 um 09:51

Slack hat etliche Nutzer aufgefordert, ihr Passwort zu ändern. Über eine Sicherheitslücke wurden über Jahre Hashes der Passwörter versendet.

Die Kollaborationssoftware Slack hat in bestimmten Fällen die gehashten Passwörter an andere Nutzer übermittelt. Man habe rund 0,5 Prozent der Nutzer aufgefordert, ihr Passwort zu ändern, teilte Slack mit. Was nach wenig klingt, sind bei vom Onlinemagazin The Register geschätzten 10 Millionen täglich aktiven Nutzern eine ganze Menge.

Laut Slack wurden die gehashten Passwörter übermittelt, wenn Nutzer einen gemeinsamen Einladungslink für einen Arbeitsbereich erstellten oder widerriefen. Die Daten seien dann an alle Mitglieder des Arbeitsbereichs gesendet worden, erklärte Slack. In der Software sei der Passworthash allerdings nicht angezeigt worden, vielmehr habe der am Gerät ankommende Netzwerkverkehr untersucht werden müssen, um an den Passworthash zu gelangen.

Entdeckt hatte das Problem ein Sicherheitsforscher, der es am 17. Juli 2022 an Slack meldete. Dort wurde das schon seit längerer Zeit bestehende Problem umgehend behoben. Betroffen sind demnach Nutzer, die im Zeitraum zwischen dem 17. April 2017 und dem 17. Juli 2022 entsprechende Einladungslinks erstellten oder widerriefen. Weitere Details zu dem Problem nannte Slack nicht.

Auch das eingesetzte Hashingverfahren nannte das Unternehmen nicht, auf Nachfrage haben wir bisher noch keine Antwort erhalten. Die Passwörter seien vor dem Hashen mit einem sogenannten Salt (engl. Salz) verlängert worden, teilte Slack mit. “Es ist praktisch nicht möglich, ein Kennwort aus dem Hash abzuleiten, und niemand kann den Hash direkt zur Authentifizierung verwenden”, betonte der Anbieter. Je nach eingesetztem Hashingverfahren, Passwortlänge und vorhandener Rechenpower können Passwörter jedoch durchaus geknackt werden.

Bei den betroffenen Nutzern wurde das Passwort zurückgesetzt, sie müssen ein neues Kennwort wählen. Slack empfiehlt zudem, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Der Beitrag Slack schließt jahrelanges Datenleck erschien zuerst auf Linux-Magazin.

❌
❌