按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

部分 Slack 用戶因邀請連結雜湊遭外洩而需重設密碼

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-08-09
  • 點閱次數:2390
部分Slack用戶因邀請連結雜湊遭外洩而需重設密碼 TWCERT/CC

受到廣泛採用的企業即時通訊服務 Slack,日前通知部分用戶,因為修復了一個邀請連結雜湊外洩的錯誤,必須重置這些客戶的登入密碼。收到這項通知的用戶,約占 Slack 所有用戶數的 0.5%。

Slack 表示,該漏洞會在用戶產生或取消邀請連結時,會傳送一個經過雜湊運算的密碼;雖然要從雜湊值反向運算,以得到正確密碼的機率相當低,再加上駭侵者必須密集監聽 Slack 伺服器的網路傳輸資訊,但這仍屬於不安全的資料傳輸方式。

該漏洞是由未公開的獨立資安研究人員,於 7 月 17 日向 Slack 通報;Slack 獲報後立即修復改漏洞,且重置可能受影響用戶的登入密碼。

據 Slack 的資安通報指出,任何曾在 2022 年 4 月 17 日到 7 月 17 日間產生邀請連結或撤消邀請的用戶,其 Slack 登入密碼都已重置,用戶必須重新設定新的登入密碼,才能再次登入其 Slack 帳號。

Slack 指出,使用暴力試誤法,仍有可能將雜湊值反向運算,以得出正確的密碼內容,因此 Slack 為加強密碼安全,仍然必須重置部分用戶的登入密碼。

Slack 表示,有疑慮的用戶,可以透過其資安通報網頁內提供的連結,下載自己的登入及使用記錄,以檢視是否遭到不當存取。

即使不容易透過雜湊值反向算出正確密碼,Slack 仍建議所有用戶使用強式密碼、啟用二階段登入驗證功能,並且避免在不同服務之間使用相同密碼,以避免自己的帳戶遭到駭侵者不當存取。

回頁首