Beheer

IT beheer
Slack security

Slack reset duizenden wachtwoorden na lek

Probleem van wachtwoordlek speelde al vijf jaar lang.

© Slack
9 augustus 2022

Probleem van wachtwoordlek speelde al vijf jaar lang.

Chatdienst Slack heeft de wachtwoorden van talloze gebruikers opnieuw ingesteld, vanwege een datalek. Tussen 17 april 2017 en 17 juli 2022 zat er een fout in de communicatie- en collaborationdienst, waardoor de wachtwoordhashes van Slack-gebruikers werden gedeeld met hun teamleden.

Het probleem deed zich specifiek voor als gebruikers een gedeelde uitnodigingslink voor hun workspace aanmaakte of introkken, aldus Slack in een mededeling op zijn website. Hoewel het wachtwoord zelf niet zichtbaar was voor teamleden, kan zo'n hash wel gekraakt worden waardoor het wachtwoord alsnog achterhaald kan worden. Volgens Slack waren de hashes zelf echter niet direct zichtbaar voor Slack-clients. Wie de hash wilde ontdekken, moest actief het versleutelde netwerkverkeer van Slacks servers monitoren.

Wachtwoorden gereset

Het probleem werd gevonden door een onafhankelijke beveiligingsonderzoeker, die op 17 juli 2022 melding maakte van het probleem. Slack heeft daarna "onmiddellijk de onderliggende fout gefixt", verklaart het bedrijf. Ook is direct na de ontdekking een onderzoek naar de mogelijke impact van het probleem gestart. De wachtwoorden van getroffen gebruikers zijn gereset. Zij moeten eerst een nieuw wachtwoord aanmaken, voor ze weer kunnen inloggen. Getroffen gebruikers zijn hiervan op de hoogte gesteld. 

Hoeveel mensen precies door het probleem getroffen zijn, is onduidelijk. Slack zelf heeft het over 0,5% van alle gebruikers, maar het is niet precies bekend hoeveel gebruikers de chatdienst heeft. Volgens schattingen gaat het om zeker 10 miljoen dagelijks actieve gebruikers, weet The Register. Dat betekent dat de wachtwoordhashes van zeker 50.000 gebruikers gelekt kunnen zijn.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.