Slack reset duizenden wachtwoorden na lek

Het probleem deed zich specifiek voor als gebruikers een gedeelde uitnodigingslink voor hun workspace aanmaakte of introkken, aldus Slack in een mededeling op zijn website. Hoewel het wachtwoord zelf niet zichtbaar was voor teamleden, kan zo'n hash wel gekraakt worden waardoor het wachtwoord alsnog achterhaald kan worden. Volgens Slack waren de hashes zelf echter niet direct zichtbaar voor Slack-clients. Wie de hash wilde ontdekken, moest actief het versleutelde netwerkverkeer van Slacks servers monitoren.

Wachtwoorden gereset

Het probleem werd gevonden door een onafhankelijke beveiligingsonderzoeker, die op 17 juli 2022 melding maakte van het probleem. Slack heeft daarna "onmiddellijk de onderliggende fout gefixt", verklaart het bedrijf. Ook is direct na de ontdekking een onderzoek naar de mogelijke impact van het probleem gestart. De wachtwoorden van getroffen gebruikers zijn gereset. Zij moeten eerst een nieuw wachtwoord aanmaken, voor ze weer kunnen inloggen. Getroffen gebruikers zijn hiervan op de hoogte gesteld. 

Hoeveel mensen precies door het probleem getroffen zijn, is onduidelijk. Slack zelf heeft het over 0,5% van alle gebruikers, maar het is niet precies bekend hoeveel gebruikers de chatdienst heeft. Volgens schattingen gaat het om zeker 10 miljoen dagelijks actieve gebruikers, weet The Register. Dat betekent dat de wachtwoordhashes van zeker 50.000 gebruikers gelekt kunnen zijn.