Nieuws

Slack lekte jaren gehashte wachtwoorden

Salesforce koopt Slack
De servers van het professionele chatplatform Slack hebben sinds 2017 wachtwoorden van een deel van de gebruikers van de dienst gelekt.

Geen enkele beveiliging is waterdicht, zo laat ook Slack ons ditmaal zien. Vorige week kwam het bedrijf achter een nieuw lek. Dat melden ze in een bericht op hun blog. Hierbij werden er wachtwoorden gelekt van gebruikers die een uitnodiging verstuurd of weigerden voor hun ‘workspace’. Slack zou de wachtwoorden van de gebruikers in een gehashte versie hebben doorgestuurd, onzichtbaar voor de gebruikers. Deze zouden echter wel opgepikt kunnen worden door het versleutelde netwerk van de servers van Slack in de gaten te houden.

Slechts 0,5 procent van alle gebruikers van Slack zouden hierdoor getroffen zijn. De bug werd voor het eerst opgepikt door een externe veiligheidsonderzoeker. Deze gaf de informatie vrij op 17 juli 2022. Naar verluidt zou het probleem al vijf jaren actief zijn, sinds 17 april 2017. Zodra het platform de melding ontving, werd de bug meteen opgelost.

Gezouten wachtwoorden

Slack meldt wel dat de wachtwoorden niet zomaar gelezen konden worden vanwege hun ‘hashed’ en ‘salted’ aard. Door ze te ‘salten’ worden er 32 of meer karakters aan toegevoegd, waardoor ze complexer worden. Enkel het bedrijf weet dan wat er waar is toegevoegd. Hashed houdt in dat de wachtwoorden in hun tekstvorm worden omgezet naar een andere aanduiding, zoals bijvoorbeeld in cijfers. Ze stellen dat het zeer moeilijk is deze terug om te zetten, al zou het niet onmogelijk zijn, met bijvoorbeeld brute force-methodes. Daardoor vragen ze alle bestaande gebruikers om tweestapsverificaties in te stellen, samen met een uniek wachtwoord voor elke dienst die ze gebruiken. Ze gaven zelf ook al aan de gebruikers waarvan het wachtwoord getroffen was een verzoek te hebben gestuurd op 4 augustus om hun paswoord opnieuw aan te passen.

businesshackslack

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600