Slackは8月4日(現地時間)、ユーザーがワークスペースの招待リンクを作成/取消した際に発生する脆弱性に対応し、全ユーザーの約0.5%のパスワードを初期化したことを発表した。
本脆弱性は、ワークスペースの招待リンクを作成/取消すると、実行したユーザーのハッシュ化されたパスワードがワークスペース内のほかのユーザーに送信されてしまうというもの。7月17日に発覚したこの脆弱性は、2017年4月17日~2022年7月17日に招待リンクを作成/取消したすべてのユーザーに影響を与えたという。
なお、送信されてしまったハッシュ化済みパスワードはSlackのクライアント上では表示されず、Slackサーバーから来た暗号化済みのネットワークトラフィックを監視しなければならない。また、パスワードは暗号化されており元のパスワードを導き出すのは事実上不可能であるため、パスワード漏洩の可能性は低いという。
同社は、この脆弱性を発覚後ただちに修正したうえで、念のため、影響を受けたユーザーのSlackパスワードを初期化したとしている。
コメント