Xakep #305. Многошаговые SQL-инъекции
На этой неделе разработчики корпоративного мессенджера Slack анонсировали новую функцию Connect DM, которая позволяет отправлять сообщения напрямую любому пользователю Slack в любой организации. Разработчики позиционировали ее как новый и удобный способ для связи с бизнес-партнерами.
Однако новая функциональность, включенная по умолчанию, совершенно не понравилась пользователям и ИБ-экспертам. Дело в том, что даже если у пользователя отключена функция Connect DM, он все равно будет получать email-уведомления и сообщения от всех, кто пытался связаться с ним, включая случайных людей, которые могут злоупотреблять этой функций, чтобы просто отправить кому-нибудь порцию оскорблений. Хуже того, посторонние люди вдруг получили возможность обращаться напрямую к сотрудникам любых компаний и приглашать их в приватные чаты, где те могли подвергнуться фишинговым атакам и пострадать от социальной инженерии.
Реакция сообщества последовала незамедлительно. Так, в Twitter несколько экспертов по безопасности писали, что этой функцией можно злоупотреблять не только ради фишинга или распространения малвари, ее также можно использовать для рассылки спама и преследования конкретных людей. Проблема в том, что у пользователей не было никаких механизмов для блокирования подобных сообщений и даже возможности сообщить о злоупотреблениях администратору.
well that was easy as shit to abuse
— Menotti Minutillo (@44) March 24, 2021
- send invite with nasty language
- slack emails you w/ the full content of the invite
- can't block the emails because they come from a generic slack address that informs you of invites
- abuser can keep inviting w/ abusive language https://t.co/Mw9W5L251a pic.twitter.com/dWEAD7ccRO
If someone in a free Slack *ever* accepts a cross-Slack DM invite, even if that connection is later revoked, anyone in that other Slack can forever find all the members of that free Slack and see their profiles. There is no way for someone running a free Slack to turn this off.
— Tom Lowenthal (@flamsmark) March 24, 2021
Из-за этого компании стали массово отключать Connect DM, а ИБ-специалисты советовали пользоваться этой функцией только вместе со строгими списками контроля доступа, позволяющими контролировать, какие сотрудники могут участвовать в межорганизационных чатах.
Журналисты издания Vice Motherboard связались с представителями Slack и спросили, что те намерены делать с возникшими проблемами. В компании признали, что допустили ошибку:
«После развертывания Slack Connect DM мы получили ценные отзывы от наших пользователей о том, что электронные приглашения к использованию данной функции могут потенциально применяться для отправки оскорбительных или раздражающих сообщений. Мы уже предпринимаем немедленные шаги для предотвращения подобных злоупотреблений: с сегодняшнего дня мы удалили возможность настройки пригласительных сообщений, в которых пользователь приглашает кого-то присоединиться к Slack Connect DM, — заявил Джонатан Принс, вице-президент Slack по коммуникациям и политике. — При первоначальном развертывании [новой функции] мы допустили ошибку, которая несовместима с нашими целями в отношении продукта и нормальным опытом использования Slack Connect».
При этом представитель Slack отказался сообщить, планирует ли компания доработать Slack Connect DM в целом и, например, добавить столь необходимую функцию блокировки. В компании заявили, что с 2016 года в Slack действует команда Trust & Safety, однако Slack снимает с себя ответственность за модерирование своей платформы, перекладывая ее на компании, которые ею пользуются.