11.08.2022
Schwachstelle
Passwort-Leck bei Slack – zehntausende Kennwörter zurückgesetzt
Autor: Claudia Maag
Slack
Nach dem Bekanntwerden einer Schwachstelle hat Slack bei einem Teil der Nutzergemeinde das Passwort zurückgesetzt. Man habe keine Hinweise auf böswillige Aktivitäten, so das Unternehmen.
Ein Bug im Messengerdienst Slack legte die gehashten Passwörter einiger Nutzerinnen und Nutzer fünf Jahre lang offen, wie "Wired" berichtet (engl.).
Wenn Benutzer einen Link (geteilte Einladung) erstellten oder widerriefen – den andere versenden konnten, um sich für einen bestimmten Slack-Arbeitsbereich anzumelden –, übertrug der Befehl versehentlich auch das gehashte Passwort an andere Mitglieder dieses Arbeitsbereichs.
Das gehashte Passwort war laut Slack in keinem Slack-Client sichtbar, wie das Unternehmen im Blog schreibt. Es habe sich herausgestellt, dass eine aktive Überwachung des verschlüsselten Netzwerk-Traffics der Slack-Server erforderlich war. "Dieser Fehler wurde von einem unabhängigen Sicherheitsforscher entdeckt und uns am 17. Juli 2022 mitgeteilt", schreibt Slack im Blog.
Die Schwachstelle betraf die Passwörter aller Personen, die während eines Zeitraums von fünf Jahren (zwischen 17. April 2017 und 17. Juli 2022) einen gemeinsamen Einladungslink erstellt oder widerrufen haben.
Nach Angaben von Slack ist das Zurücksetzen des Passworts eine Vorsichtsmaßnahme. Man habe keinen Grund anzunehmen, dass die Schwachstelle aktiv ausgenutzt wurde. Informationen zum Zurücksetzen von Slack-Passwörtern finden Sie hier.
Slack hat laut "Wired" im Jahr 2019 angegeben, mehr als 10 Millionen aktive Nutzer täglich zu haben. Nach Angaben von Slack hat das Unternehmen bei etwa 0,5 Prozent aller Benutzerinnen und Benutzer das Passwort zurückgesetzt – das würde daher etwa 50.000 entsprechen. In der Zwischenzeit könnte Slack die Nutzerzahl natürlich massiv erhöht haben.
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Übersetzungshilfen
Cleverer Dolmetscher - so hilft das Web beim Übersetzen
Mit Deutsch allein bleibt der grösste Teil des Internets unverständlich. Glücklicherweise gibt es in jedem Browser Übersetzungswerkzeuge. Wir zeigen Ihnen, wie Sie in Firefox, Chrome und Safari Websites einfach übersetzen.
>>
Musik
Neuer Deal zwischen Universal Music Group und TikTok
Bald soll es wieder mehr Originalmusik auf TikTok geben. Nach einer dreimonatigen Pause wagen Universal Music und Tiktok einen Neustart ihrer Partnerschaft.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>