News

Slack schließt endlich fünf Jahre alte Sicherheitslücke

Die Kollaborationssoftware Slack, die ähnlich wie Microsoft Teams funktioniert, ist in vielen Unternehmen im Einsatz. Bereits seit 2017 besteht allerdings eine Sicherheitslücke, die man nun endlich geschlossen hat. So würden über Jahre hinweg Hashes von Passwörtern verschickt.

Slack Sicherheitslücke endlich geschlossen

Wie Slack mitteilt, habe man vor Kurzem rund 0,5 Prozent aller Nutzerinnen und Nutzer zur Änderung ihrer Passwörter aufgefordert. Was zunächst einmal nicht nach viel klingt, ist aber doch eine gewaltige Zahl. Laut BusinessofApps hatte Slack im Jahr 2020 rund 18 Millionen aktive Nutzer, das Unternehmen selbst sprach von mehr als 10 Millionen aktiven Benutzern pro Tag im Jahr 2019.

Allerdings begann Microsoft Teams bereits im Jahr 2019, Slack den Rang abzulaufen. Vor Beginn der Corona-Pandemie überholte die Microsoft-Kollaborationssoftware die Nutzerzahlen des Konkurrenten erstmals.

Wie Slack mitteilt, wurden die gehashten Passwörter durch einen Bug generiert, ein Einladungslink für einen Workspace erstellt oder zurückgerufen wurde. Dabei seien die Daten fälschlicherweise an alle Mitglieder des entsprechenden Workspace verschickt worden.

Sie seien allerdings nicht für Slack-Kunden sichtbar gewesen, weshalb man den verschlüsselten eingehenden Netzwerkverkehr genauesten beobachten musste, um das Problem überhaupt erst zu finden.

Ein unabhängiger Sicherheitsforscher habe den Bug am 17. Juli 2022 entdeckt und danach sofort an Slack übermittelt. Betroffen seien alle Nutzerinnen und Nutzer, die zwischen dem 17. April 2017 und 17. Juli 2022 einen Einladungslink erstellt oder widerrufen haben, so das Unternehmen.

Was ist ein Passwort-Hash?

Mithilfe eines Passwort-Hash ist es möglich, Passwörter sicher zu speichern und dient eigentlich einer Verbesserung des Datenschutzes. Passwörter werden dabei verschlüsselt in eine festgelegte Zeichen- und Symbolfolge umgewandelt, liegen also nicht im Klartext vor.

Aus diesem Grund sei es unmöglich, das direkte Passwort aus einem Hash auszulesen, schreibt Slack. Mit dem Hash sei es zudem nicht möglich, sich in ein Profil einzuloggen bzw. zu authentifizieren. Das betont zumindest Slack. Möglich ist dies mit entsprechender Ausrüstung allerdings durchaus.

Slack habe alle Betroffenen zur Vergabe eines neuen Passworts aufgefordert und empfiehlt, zusätzlich eine Zwei-Faktor-Authentifizierung einzurichten, um das eigene Konto weiter zu schützen.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"