Slack, Anbieter des gleichnamigen Messaging-Dienstes für den beruflichen Einsatz und heute Teil von Salesforce, hat viele Nutzer aufgefordert, ihre Passwörter neu zu setzen – als reine Vorsichtsmassnahme, wie das Unternehmen betont. Die
Warnung ging an 0,5 Prozent der Abonnenten, und zwar wegen eines Bugs, über den ein unabhängiger Sicherheitsforscher
Slack Mitte Juli informiert hatte. Das Problem hat jedoch eine längere Geschichte und betrifft alle Slack-User, die zwischen 17. April 2017 und 17. Juli 2022 mit Einladungs-Links interagierten. Nachdem der Sicherheitsforscher Slack informiert hatte, wurde der Fehler sofort behoben.
Der Bug wirkte sich jeweils aus, wenn ein Slack-User einen Einladungs-Link für seinen Workspace anderen Usern übermittelte oder die Einladung widerrief. Slack schickte in diesen Fällen das gehashte Passwort des einladenden Users an andere Mitglieder des Workspace. Damit solche Passwörter im Klartext sichtbar geworden wären, hätte aber der Netzwerkverkehr, der von den Slack-Servern einging, überwacht und entschlüsselt werden müssen. Slack beurteilt deshalb das Risiko als praktisch nicht existierend.
(ubi)
