Lek in Slack laat hacker accounts volledig overnemen
Een beveiliger heeft een lek gevonden in Slack dat er voor zorgt dat hackers enkel op basis van een gebruikersnaam een account kunnen overnemen.
Het lek is intussen gedicht nadat securityonderzoeker David Vieira-Kurz het probleem had gemeld. Concreet gaat het om twee exploits. Hij kon toegang krijgen tot een administratorpanel. Daar kon hij met behulp van metadata over gebruikers en de Slack-omgeving controle waarmee hij uiteindelijk wachtwoorden voor Slack-accounts kon resetten als hij de gebruikersnaam van de account in kwestie had. Zo is het voor een hacker mogelijk om het wachtwoord te vervangen en zelf een account over te nemen.
Slack betaalde uiteindelijk 7.000 en 2.000 dollar voor de melding van beiden incidenten. Op zijn website doet Vieira-Kurz het volledige verhaal. Waarbij hij er op wijst dat een schijnbaar triviaal veiligheidsprobleem wel degelijk ernstige gevolgen kan hebben.
Fout opgemerkt of meer nieuws? Meld het hier