• 發布單位:TWCERT/CC
• 更新日期:2022-08-09
• 點閱次數:5971

受到廣泛採用的企業即時通訊服務 Slack，日前通知部分用戶，因為修復了一個邀請連結雜湊外洩的錯誤，必須重置這些客戶的登入密碼。收到這項通知的用戶，約占 Slack 所有用戶數的 0.5%。

Slack 表示，該漏洞會在用戶產生或取消邀請連結時，會傳送一個經過雜湊運算的密碼；雖然要從雜湊值反向運算，以得到正確密碼的機率相當低，再加上駭侵者必須密集監聽 Slack 伺服器的網路傳輸資訊，但這仍屬於不安全的資料傳輸方式。

該漏洞是由未公開的獨立資安研究人員，於 7 月 17 日向 Slack 通報；Slack 獲報後立即修復改漏洞，且重置可能受影響用戶的登入密碼。

據 Slack 的資安通報指出，任何曾在 2022 年 4 月 17 日到 7 月 17 日間產生邀請連結或撤消邀請的用戶，其 Slack 登入密碼都已重置，用戶必須重新設定新的登入密碼，才能再次登入其 Slack 帳號。

Slack 指出，使用暴力試誤法，仍有可能將雜湊值反向運算，以得出正確的密碼內容，因此 Slack 為加強密碼安全，仍然必須重置部分用戶的登入密碼。

Slack 表示，有疑慮的用戶，可以透過其資安通報網頁內提供的連結，下載自己的登入及使用記錄，以檢視是否遭到不當存取。

即使不容易透過雜湊值反向算出正確密碼，Slack 仍建議所有用戶使用強式密碼、啟用二階段登入驗證功能，並且避免在不同服務之間使用相同密碼，以避免自己的帳戶遭到駭侵者不當存取。