Til hovedinnhold

Slack-passord på avveie i fem år

Nå sier selskapet at feilen er fikset.

For få dager siden fikk en rekke brukere reversert passordene sine på kommunikasjonsplattformen Slack, og bedt om å opprette nye. Dette fordi Slack ble gjort oppmerksomme på et sikkerhetshull som gjorde at brukeres krypterte passord hadde kommet på avveie.

Lekkasjen skal ha blitt oppdaget i forbindelse med uavhengige sikkerhetsundersøkelser. Ifølge deres rapport skal passord ha blitt lekket i perioden 17. april, 2017 og frem til 17. juli i år. Ifølge Slack skal de ha satt i gang prosessen med å reparere feilen, samt undersøke de potensielle konsekvensene av problemet umiddelbart etter å ha mottatt rapporten.

Slack, som er mange arbeidsplassers foretrukne kommunikasjonsverktøy, opplyser selv at feilen skal ha påvirket 0,5 prosent av brukerne. Det er vanskelig å tallfeste nøyaktig hvor mange som bruker Slack, ettersom de betalende kundene gjerne er bedrifter, men i 2019 opplyste de at de hadde flere enn 10 millioner daglige brukere. Dette betyr at minst 50.000 Slack-brukere har fått passordene sine lekket.

Kun krypterte passord lekket

Feilen som er blitt oppdaget skal ha oppstått ved opprettelsen- eller reverseringen av invitasjonslenker, knyttet til deres respektive arbeidsområder, opplyser Slack selv.

– Når en bruker utførte en av disse handlingene, overførte Slack en «hashet» versjon av passordet deres til andre arbeidsområdemedlemmer, skriver de på egne nettsider.

De opplyser samtidig om at når disse handlingene ble utført, skal Slack ha sendt en hashet/kryptert versjon av passordene deres til andre medlemmer av samme arbeidsområde. Altså, passordene som er lekket var uleselige og «ikke-reversible» og således særdeles vanskelig for andre å lese.

Det var altså ikke snakk om at passord i klartekst var på avveie, og ikke noe som enkelt kunne brukes for å få tilgang til brukernes kontoer.

Passordene skal ikke ha blitt delt eksternt, og for å oppdage at passordene ble delt skal man angivelig ha måttet aktivt følge med på den krypterte trafikken som kommer fra Slacks servere, opplyser de selv.

– Vi har ingen grunn til å tro at noen var i stand til å få tak i klartekstpassord på grunn av dette problemet, opplyser de.

annonse