Slack 在漏洞暴露某些用戶的哈希密碼后重置密碼

Slack 表示，在創建或撤銷工作區的共享邀請鏈接時，一個漏洞暴露了加鹽密碼哈希后，它采取了重置大約 0.5% 用戶的密碼的步驟。

“當用戶執行這些操作中的任何一個時，Slack 會將其密碼的散列版本傳輸給其他工作區成員，”企業通信和協作平臺在 8 月 4 日的警報中表示。

散列是指一種將任何形式的數據轉換為固定大小的輸出（稱為散列值或簡稱為散列）的加密技術。Salting旨在為哈希過程添加一個額外的安全層，以使其抵抗暴力嘗試。

這家 Salesforce 擁有的公司在 2019 年 9 月報告了超過1200 萬的每日活躍用戶，但沒有透露用于保護密碼的確切哈希算法。

據說該漏洞影響了在 2017 年 4 月 17 日至 2022 年 7 月 17 日期間創建或撤銷共享邀請鏈接的所有用戶，當時該漏洞已被一位未具名的獨立安全研究人員告知該問題。

值得指出的是，散列密碼對任何 Slack 客戶端都是不可見的，這意味著對信息的訪問需要主動監控源自 Slack 服務器的加密網絡流量。

“我們沒有理由相信任何人都能夠因為這個問題而獲得明文密碼，”Slack 在公告中指出。“但是，為了謹慎起見，我們已經重置了受影響用戶的 Slack 密碼。”

此外，該公司正在利用該事件建議其用戶打開雙重身份驗證，以防止帳戶接管嘗試并為在線服務創建唯一密碼。