10. August 2022 – Seit 2017 litt Slack unter einem Fehler, der gehashte Passwörter an andere Benutzer sendete, wenn diese Einladungen verschickten oder zurücknahmen. Das Risiko, dass Passwörter im Klartext veröffentlicht werden, war jedoch äußerst gering.
Slack, Anbieter des gleichnamigen Messaging-Dienstes für den professionellen Einsatz und mittlerweile Teil von Salesforce, hat viele Nutzer gebeten, ihre Passwörter rein präventiv zurückzusetzen, wie das Unternehmen betont. Die Warnung erreichte 0,5 Prozent der Abonnenten wegen eines Fehlers, den ein unabhängiger Sicherheitsforscher Slack Mitte Juli gemeldet hatte. Das Problem hat jedoch eine längere Vorgeschichte und betrifft alle Slack-Benutzer, die zwischen dem 17. April 2017 und dem 17. Juli 2022 mit Einladungslinks interagiert haben. Nachdem der Sicherheitsforscher Slack gemeldet hatte, wurde der Fehler sofort behoben.
Der Fehler trat immer dann auf, wenn ein Slack-Benutzer einen Einladungslink für seinen Workspace an andere Benutzer gesendet oder die Einladung widerrufen hat. In diesen Fällen hat Slack den Passwort-Hash des Gastbenutzers an andere Mitglieder des Workspace gesendet. Damit diese Passwörter jedoch im Klartext sichtbar sind, müsste der Netzwerkverkehr von den Servern von Slack überwacht und entschlüsselt werden. Daher stuft Slack das Risiko als praktisch nicht existent ein. (wo)