Un vecchio bug di sicurezza ha costretto Slack, la nota applicazione di messaggistica e produttività per il lavoro in team, a forzare il reset delle password dello 0.5% di utenti. Il bug in questione si verificava quando gli utenti creavano o revocavano un collegamento di invito condiviso per il proprio spazio di lavoro esponendo l'hash delle password durante una delle due situazioni.
Eseguendo una di queste azioni, Slack trasmetteva una versione con hash della password ad altri membri della workspace. Nonostante questi dati siano stati condivisi tramite un collegamento di invito, il client della piattaforma non ha archiviato o visualizzato questi dati agli iscritti all'area di lavoro.
Il problema a quanto pare era presente da diverso tempo e ha interessato gli utenti che hanno creato o revocato collegamenti di invito condivisi tra il 17 aprile 2017 e il 17 luglio 2022.
Slack: password esposte, un reale pericolo?
In seguito all'esame del rapporto ricevuto dal ricercatore di sicurezza, la società assicura di aver immediatamente corretto il bug e ha iniziato ad indagare sul potenziale impatto riscontrato sui propri clienti.
Slack, si legge nella nota diramata sul sito ufficiale, non ha motivo di credere che qualcuno sia stato in grado di ottenere password grazie a questa esposizione accidentale. Per motivi di cautela, tuttavia, si è preferito procedere al reset delle parole chiave degli utenti interessati, i quali dovranno importare una nuova password prima di poter accedere nuovamente.
Se sei tra gli utenti coinvolti dovrai procedere con la scelta di una nuova chiave di accesso. Puoi controllare la cronologia di accesso al tuo account visitando https://my.slack.com/account/logs.
