受到廣泛採用的企業即時通訊服務 Slack,日前通知部分用戶,因為修復了一個邀請連結雜湊外洩的錯誤,必須重置這些客戶的登入密碼。收到這項通知的用戶,約占 Slack 所有用戶數的 0.5%。
Slack 表示,該漏洞會在用戶產生或取消邀請連結時,會傳送一個經過雜湊運算的密碼;雖然要從雜湊值反向運算,以得到正確密碼的機率相當低,再加上駭侵者必須密集監聽 Slack 伺服器的網路傳輸資訊,但這仍屬於不安全的資料傳輸方式。
該漏洞是由未公開的獨立資安研究人員,於 7 月 17 日向 Slack 通報;Slack 獲報後立即修復改漏洞,且重置可能受影響用戶的登入密碼。
據 Slack 的資安通報指出,任何曾在 2022 年 4 月 17 日到 7 月 17 日間產生邀請連結或撤消邀請的用戶,其 Slack 登入密碼都已重置,用戶必須重新設定新的登入密碼,才能再次登入其 Slack 帳號。
Slack 指出,使用暴力試誤法,仍有可能將雜湊值反向運算,以得出正確的密碼內容,因此 Slack 為加強密碼安全,仍然必須重置部分用戶的登入密碼。
Slack 表示,有疑慮的用戶,可以透過其資安通報網頁內提供的連結,下載自己的登入及使用記錄,以檢視是否遭到不當存取。
即使不容易透過雜湊值反向算出正確密碼,Slack 仍建議所有用戶使用強式密碼、啟用二階段登入驗證功能,並且避免在不同服務之間使用相同密碼,以避免自己的帳戶遭到駭侵者不當存取。
- 參考連結
Notice about Slack password resets
https://slack.com/intl/en-gb/blog/news/notice-about-slack-password-resets
Slack resets passwords after exposing hashes in invitation links
留言列表