Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 3
ストーリー by headless
招待 部門より
招待 部門より
Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ
(Slack のブログ記事、
The Register の記事)。
この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。
このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。
このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
どうしてこうなった? (スコア:0)
変数使いまわしちゃった的な何かなんだろうか?
Re: (スコア:0)
推測ですけど、GraphQLのクエリ設計ミスとか、ORMのオブジェクトの取り扱いがまずかったとかですかね?
「ワークスペースメンバーへ送信」というのはリンク発行・取消時のWebsocketでの通知のことのようですが。
Re: (スコア:0)
GraphQLは人類には早いと思うんだ
脆弱性の温床だよアレ