Slack notificó a aproximadamente el 0,5 % de sus usuarios que restableció sus contraseñas después de corregir un error que exponía hashes de contraseña salteados al crear o revocar enlaces de invitación compartidos para espacios de trabajo.
“Cuando un usuario realizó cualquiera de estas acciones, Slack transmitió una versión codificada de su contraseña (no texto sin formato) a otros miembros del espacio de trabajo”.
“Aunque estos datos se compartieron a través del enlace de invitación nuevo o desactivado, el cliente de Slack no almacenó ni mostró estos datos a los miembros de ese espacio de trabajo”.
Afortunadamente, las contraseñas codificadas no eran visibles para los clientes de Slack, y se requería un monitoreo activo del tráfico de red encriptado de los servidores de Slack para acceder a esta información expuesta, según Slack.
No hay contraseñas de texto sin formato expuestas
Slack también agregó que no tiene motivos para considerar que el error se usó para obtener acceso a las contraseñas de texto sin formato antes de solucionarlo.
“No tenemos motivos para creer que alguien pudo obtener contraseñas de texto sin formato debido a este problema”, declaró la compañía.
“Sin embargo, por precaución, hemos restablecido las contraseñas de Slack de los usuarios afectados. Deberán establecer una nueva contraseña de Slack antes de poder iniciar sesión nuevamente”.
También es importante mencionar que, aunque los hashes no se pueden usar para la autenticación y es inviable intentar revertirlos (para algunos algoritmos de hash), Slack agregó en los avisos de seguridad enviados a los usuarios afectados que los hashes aún se pueden revertir mediante la fuerza bruta.
“Las contraseñas codificadas son seguras, pero no perfectas; aún están sujetas a ser revertidas por fuerza bruta, razón por la cual hemos elegido restablecer las contraseñas de todos los afectados”, advirtió Slack.
Para asegurarse de que su cuenta no se vio comprometida, puede acceder a los registros de acceso personal aquí . Slack también aconseja a todos los usuarios que habiliten la autenticación de dos factores y creen contraseñas únicas que no se usan con otros servicios en línea.
Slack dice que tiene más de 169.000 clientes de pago de más de 150 países, con 65 empresas Fortune 100 que utilizan sus servicios.
