Le logiciel de collaboration Slack, qui fonctionne de manière similaire à Microsoft Teams, est utilisé dans de nombreuses entreprises. Cependant, une faille de sécurité existait depuis 2017, qui a finalement été corrigée. Ainsi, des hachages de mots de passe seraient envoyés pendant des années.
La faille de sécurité de Slack enfin comblée
Comme le raconte Slack, ils ont récemment demandé à environ 0,5 % de tous les utilisateurs de modifier leur mot de passe. Même si cela ne semble pas grand-chose au premier abord, c’est un chiffre énorme. Selon BusinessofApps, Slack comptait environ 18 millions d’utilisateurs actifs en 2020, et l’entreprise elle-même parlait de plus de 10 millions d’utilisateurs actifs quotidiens en 2019.
Cependant, Microsoft Teams a commencé à dépasser Slack dès 2019. Avant le début de la pandémie de Corona, le logiciel de collaboration de Microsoft dépassait pour la première fois le nombre d’utilisateurs du concurrent.
Selon Slack, les mots de passe hachés ont été générés par un bug, un lien d’invitation vers un espace de travail a été créé ou rappelé. Au cours du processus, les données avaient été envoyées par erreur à tous les membres de l’espace de travail correspondant.
Cependant, ils n’étaient pas visibles pour les clients Slack, c’est pourquoi il était nécessaire de surveiller de près le trafic réseau entrant crypté pour détecter le problème en premier lieu.
Un chercheur indépendant en sécurité a découvert le bug le 17 juillet 2022 et l’a immédiatement signalé à Slack. Tous les utilisateurs qui ont créé ou révoqué un lien d’invitation entre le 17 avril 2017 et le 17 juillet 2022 ont été concernés, a indiqué la société.
Qu’est-ce qu’un hachage de mot de passe ?
À l’aide d’un hachage de mot de passe, il est possible de stocker les mots de passe en toute sécurité et sert effectivement à améliorer la protection des données. Les mots de passe sont cryptés et convertis en une séquence fixe de caractères et de symboles, ils ne sont donc pas disponibles en texte brut.
Pour cette raison, il est impossible de lire le mot de passe direct à partir d’un hachage, écrit Slack. Il n’est pas non plus possible de se connecter ou d’authentifier un profil avec le hachage. C’est du moins ce que souligne Slack. Cependant, cela est certainement possible avec le matériel approprié.
Slack a demandé à toutes les personnes concernées de saisir un nouveau mot de passe et leur recommande également de configurer une authentification à deux facteurs pour protéger davantage leur propre compte.
Jeu de briques
Snake
Pacman
Bubble