Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: slack

Możliwość wstrzyknięcia złośliwego promptu w Slack AI

23 sierpnia 2024, 15:03 | W biegu | 0 komentarzy
Możliwość wstrzyknięcia złośliwego promptu w Slack AI

Na łamach sekuraka nieraz opisywaliśmy wpadki związane z szeroko pojętym AI, które szturmem zdobywa kolejne rynki. Zachwyt technologią oraz jej powszechne wdrażanie, sprowadza na użytkowników końcowych produktów nowe zagrożenia. Tak też stało się tym razem – badacze odkryli sposób na doprowadzenie do wycieku informacji z prywatnych kanałów popularnego rozwiązania do…

Czytaj dalej »

Wykradziono kody źródłowe Slacka.

05 stycznia 2023, 09:14 | W biegu | komentarze 3
Wykradziono kody źródłowe Slacka.

Najnowszy Slack Security Update rozpoczyna się tak: We recently became aware of a security issue involving unauthorized access to a subset of Slack’s code repositories. Jak do tego doszło? On December 29, 2022, we were notified of suspicious activity on our GitHub account. Upon investigation, we discovered that a limited…

Czytaj dalej »

Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

02 września 2020, 14:45 | W biegu | komentarze 2
Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość: Aplikacja Slacka opiera się o Electrona, zatem jest de facto aplikacją webową „udającą” aplikację desktopową. W normalnej przeglądarce webowej, JavaScript jest sandboxowany; nie ma więc możliwości…

Czytaj dalej »

Błąd w Slacku warty ~13 000 PLN – dostęp do wewnętrznych serwisów przez serwer TURN

08 kwietnia 2020, 13:02 | W biegu | 0 komentarzy
Błąd w Slacku warty ~13 000 PLN – dostęp do wewnętrznych serwisów przez serwer TURN

Kilka dni temu ujawniony został ciekawy błąd zidentyfikowany w Slacku, który pozwolił na dostęp do wewnętrznych serwisów przez serwer TURN. Błąd został wyceniony na 3500 dolarów. W praktyce został wykorzystany m.in. do: Podłączenia się do serwisów z metadanymi z chmury Amazona (stamtąd można wyciągnąć tokeny IAM (Identity and Access Management),…

Czytaj dalej »

Jeśli założyłeś konto na Slacku przed marcem 2015 roku i nie zmieniałeś hasła możesz mieć problem… (wyciek)

19 lipca 2019, 12:28 | W biegu | 0 komentarzy
Jeśli założyłeś konto na Slacku przed marcem 2015 roku i nie zmieniałeś hasła możesz mieć problem… (wyciek)

Ekipa Slacka pisze o wprowadzonym właśnie wymuszeniu zmiany hasła dla niewielkiej grupy użytkowników. Chodzi o incydent który miał miejsce w 2015 roku. Atakujący pobrali wtedy min. zahashowane hasła. Atak ten był o tyle ciekawy, że napastnikom udało się również wstrzyknąć fragment kodu, który na żywo pobierał hasła użytkowników w plaintext (np….

Czytaj dalej »

Slack – dostał się do głównego panelu admina i zgarnął $9000 w ramach bounty

20 października 2016, 19:39 | W biegu | komentarze 2

Ciekawy opis przełamania kilku zabezpieczeń w domenie slack.com (w tym możliwość resetu haseł innym użytkownikom). Najpierw prosta sprawa – udało się znaleźć dostęp do zabezpieczonego URL-a /server-status: wystarczyło użyć dodatkowych czterech slashy: http://…slack.com/////server-status Ciekawe, ale niewiele dało. Dalej autor odkrycia namierzył pewne URL-e w panelu administracyjnym (dostępnego dla pracowników Slacka) i…

Czytaj dalej »