Jeśli założyłeś konto na Slacku przed marcem 2015 roku i nie zmieniałeś hasła możesz mieć problem… (wyciek)

Slack

Ekipa Slacka pisze o wprowadzonym właśnie wymuszeniu zmiany hasła dla niewielkiej grupy użytkowników. Chodzi o incydent który miał miejsce w 2015 roku. Atakujący pobrali wtedy min. zahashowane hasła.

Atak ten był o tyle ciekawy, że napastnikom udało się również wstrzyknąć fragment kodu, który na żywo pobierał hasła użytkowników w plaintext (np. w trakcie logowania):

The attackers also inserted code that allowed them to capture plaintext passwords as they were entered by users at the time.

Skąd takie działanie Slacka po kilku latach? Otrzymali zgłoszenie w ramach programu bug bounty – z dumpem wyciekłych maili/haseł i najprawdopodobnie doszli do wniosku, że wymuszony reset haseł w 2015 roku nie był kompletny:

We were recently contacted through our bug bounty program with information about potentially compromised Slack credentials.

Dotknięte są osoby, które zakładały konto przed marcem 2015 roku, nie zmieniały od tego czasu hasła i nie korzystają z SSO.

–ms