Slack ließ jahrelang gehashte Passwörter durchsickern
Der Messaging-Anbieter Slack hat zahlreiche Nutzer zum Zurücksetzen ihrer Passwörter aufgefordert. Das sei aber nur eine Vorsichtsmaßnahme, erklärte Slack.
(Bild: dpa, Fabian Sommer/dpa)
- Ute Roos
Der Instant-Messaging-Anbieter Slack hat 0,5 Prozent seiner Nutzer dazu aufgefordert, ihr Passwort zurückzusetzen. Ein unabhängiger Sicherheitsforscher hatte zuvor in dem Kollaborationstool einen Bug gefunden und das Unternehmen darüber informiert.
Passwörter für Clients nicht sichtbar
Der Fehler trat immer dann auf, wenn ein Nutzer einen Einladungslink für seinen Arbeitsbereich verschickte oder widerrief: Dann übermittelte Slack eine gehashte Version des Nutzerpassworts an andere Mitglieder des Arbeitsbereichs. Für die Slack-Clients war dieses Hashpasswort allerdings nicht sichtbar. Um es zu entdecken, hätte der verschlüsselte Netzwerkverkehr, der von den Slack-Servern kam, aktiv überwacht werden müssen.
Mitgeteilt wurde Slack der Bug am 17. Juli 2022. Er betraf alle Nutzer, die zwischen dem 17. April 2017 und diesem Zeitpunkt mit Einladungslinks agierten. Nach der Benachrichtigung durch den Sicherheitsforscher habe man den zugrundeliegenden Fehler sofort behoben und die möglichen Auswirkungen untersucht. Das Unternehmen sieht keinen Grund zur Annahme, dass Passwörter im Klartext an nichtbefugte Personen gelangt sein könnten. Das Zurücksetzen sei eine reine Vorsichtsmaßnahme, heißt es in einer Mitteilung von Slack. Kürzlich hatte das Unternehmen angekündigt, die Preise für die Pro-Lizenz des Firmenchats anzuheben.
(ur)
