パスワードを忘れた? アカウント作成
15757807 story
バグ

Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 3

ストーリー by headless
招待 部門より
Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ (Slack のブログ記事The Register の記事)。

この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。

このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年08月13日 20時28分 (#4306309)

    変数使いまわしちゃった的な何かなんだろうか?

    • by Anonymous Coward

      推測ですけど、GraphQLのクエリ設計ミスとか、ORMのオブジェクトの取り扱いがまずかったとかですかね?

      「ワークスペースメンバーへ送信」というのはリンク発行・取消時のWebsocketでの通知のことのようですが。

      • by Anonymous Coward

        GraphQLは人類には早いと思うんだ
        脆弱性の温床だよアレ

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...