Разработчики Slack уведомили около 0,5% пользователей о принудительном сбросе паролей. Поменять пароли придется из-за недавно исправленной ошибки, раскрывавшей соленые парольные хэши при создании или отзыве ссылок-приглашений.
Официальное сообщение гласит, что упомянутый баг был обнаружен и исправлен в функции Slack Shared Invite Link, которая позволяет владельцам рабочего пространства Slack (Slack Workspace) создавать специальные ссылки. По такой ссылке к беседе может присоединиться любой желающий, и эта функция создавалась как альтернатива приглашению людей по одному.
Было обнаружено, что ссылки, созданные или отозванные пользователями в период с 17 апреля 2017 по 17 июля 2022 года, раскрывали их хешированные пароли через веб-сокет всем участникам рабочего пространства, подключенным к Slack.
«Такой хешированный пароль не был виден ни в одном клиенте Slack; для его обнаружения требовался активный мониторинг зашифрованного сетевого трафика, исходящего от серверов Slack. Ошибка была обнаружена независимым исследователем и раскрыта 17 июля 2022 года, — объясняют инженеры Slack. — Получив отчет исследователя, мы немедленно устранили основную проблему, а затем начали изучать ее потенциальное влияние на наших клиентов. У нас нет оснований полагать, что из-за этой ошибки кто-то смог получить незашифрованные пароли, однако из соображений безопасности мы сбросили пароли для всех пострадавших пользователей».
Также в Slack напомнили, что всем пользователям рекомендуется использовать многофакторную аутентификацию, а также своевременно устанавливаться обновления и пользоваться актуальными средствами защиты от вредоносного ПО.