Poważna luka bezpieczeństwa Slacka
Twórcy Slacka poinformowali dzisiaj o załataniu poważnej podatności swojego komunikatora, którą 14 listopada 2019 r. zgłosił im Evan Custodio. Stopień zagrożenia wynikający z usterki został oceniony na 9,3 pkt w 10-punktowej skali.
Błąd pozwalał na manipulowanie sekwencjami przetwarzania żądań http przez witrynę internetową. Generowanie w ten sposób błędów może doprowadzić do wycieków danych, a nawet ominięcia zabezpieczeń. W przypadku Slacka podatność umożliwiała kradzież plików cookie z tajnych sesji użytkownika, a następnie wykorzystanie ich do naruszenia bezpieczeństwa poszczególnych kont i sesji.
Luka została przed zgłoszeniem dokładnie przetestowana przez jej odkrywcę. Testy wykazały, że podatność jest bardzo rozległa – na tyle, by umożliwić hakerowi zautomatyzowanie procesu zbierania danych. W praktyce mogła więc działać niczym stały podsłuch, pozwalający wykradać całe konwersacje. Zagrożenie jest więc poważne, tym bardziej że komunikator to narzędzie często wykorzystywane przez firmy.
Podatność została już wyeliminowana. Sprawa była na szczęście dość łatwa – przygotowanie stosownej łatki zajęło 24 godziny. Badacz otrzymał za swoje odkrycie nagrodę w wysokości 6,5 tys. dolarów.
fot. Slack
