Un error de Slack expuso las contraseñas cifradas de algunos usuarios durante 5 años

La comunicación de la oficina plataforma Slack es conocida por ser fácil e intuitiva de usar. Pero la compañía dijo el viernes que una de sus características de baja fricción contenía una vulnerabilidad, ahora reparada, que exponía versiones codificadas criptográficamente de las contraseñas de algunos usuarios.

Cuando los usuarios creaban o revocaban un enlace, conocido como “enlace de invitación compartido”, que otros podían usar para registrarse en un espacio de trabajo de Slack determinado, el comando también transmitía sin darse cuenta la contraseña cifrada del creador del enlace a otros miembros de ese espacio de trabajo. La falla afectó la contraseña de cualquier persona que creó o eliminó un enlace de invitación compartido durante un período de cinco años, entre el 17 de abril de 2017 y el 17 de julio de 2022.

Slack, que ahora es propiedad de Salesforce, dice que un investigador de seguridad reveló el error a la empresa el 17 de julio de 2022. Las contraseñas erróneas no estaban visibles en ningún lugar de Slack, señala la empresa, y solo podrían haber sido detenidas por alguien que monitoreaba activamente tráfico de red encriptado relevante de los servidores de Slack. Aunque la compañía dice que es poco probable que el contenido real de las contraseñas se haya visto comprometido como resultado de la falla, notificó a los usuarios afectados el jueves y forzó el restablecimiento de contraseñas para todos ellos.

Slack dijo que la situación afectó a alrededor del 0,5 por ciento de sus usuarios. En 2019, la empresa dijo que tenía más de 10 millones de usuarios activos diarios, lo que significaría aproximadamente 50 000 notificaciones. A estas alturas, es posible que la empresa casi haya duplicado esa cantidad de usuarios. Es posible que algunos usuarios que tenían contraseñas expuestas a lo largo de los cinco años todavía no sean usuarios de Slack.

“Inmediatamente tomamos medidas para implementar una solución y lanzamos una actualización el mismo día que se descubrió el error, el 17 de julio de 2022”, dijo la compañía en un comunicado. “Slack ha informado a todos los clientes afectados y se han restablecido las contraseñas de los usuarios afectados”.

La empresa no respondió a las preguntas de WIRED al momento de la publicación sobre qué algoritmo hash usó en las contraseñas o si el incidente provocó evaluaciones más amplias de la arquitectura de administración de contraseñas de Slack.

“Es desafortunado que en 2022 todavía estemos viendo errores que son claramente el resultado de un modelo de amenazas fallido”, dice Jake Williams, director de inteligencia de amenazas cibernéticas en la firma de seguridad Scythe. “Si bien las aplicaciones como Slack definitivamente realizan pruebas de seguridad, los errores como este que solo surgen en la funcionalidad de casos extremos aún se pasan por alto. Y, obviamente, hay mucho en juego cuando se trata de datos confidenciales como contraseñas”.

La situación subraya el desafío de diseñar aplicaciones web flexibles y utilizables que también limiten el acceso a datos de alto valor como contraseñas. Si recibió una notificación de Slack, cambie su contraseña y asegúrese de tener activada la autenticación de dos factores. También puede ver los registros de acceso de su cuenta.