A A A

Poważna luka bezpieczeństwa Slacka

17 marca 2020, 12:15
Wykryty błąd w zabezpieczeniach umożliwiał zautomatyzowane wykradanie całych konwersacji.
Poważna luka bezpieczeństwa Slacka

Twórcy Slacka poinformowali dzisiaj o załataniu poważnej podatności swojego komunikatora, którą 14 listopada 2019 r. zgłosił im Evan Custodio. Stopień zagrożenia wynikający z usterki został oceniony na 9,3 pkt w 10-punktowej skali.

Błąd pozwalał na manipulowanie sekwencjami przetwarzania żądań http przez witrynę internetową. Generowanie w ten sposób błędów może doprowadzić do wycieków danych, a nawet ominięcia zabezpieczeń. W przypadku Slacka podatność umożliwiała kradzież plików cookie z tajnych sesji użytkownika, a następnie wykorzystanie ich do naruszenia bezpieczeństwa poszczególnych kont i sesji.

Luka została przed zgłoszeniem dokładnie przetestowana przez jej odkrywcę. Testy wykazały, że podatność jest bardzo rozległa – na tyle, by umożliwić hakerowi zautomatyzowanie procesu zbierania danych. W praktyce mogła więc działać niczym stały podsłuch, pozwalający wykradać całe konwersacje. Zagrożenie jest więc poważne, tym bardziej że komunikator to narzędzie często wykorzystywane przez firmy.

Podatność została już wyeliminowana. Sprawa była na szczęście dość łatwa – przygotowanie stosownej łatki zajęło 24 godziny. Badacz otrzymał za swoje odkrycie nagrodę w wysokości 6,5 tys. dolarów.

fot. Slack


Krzysztof Kempski
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności




Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto