Tin tức và phân tích của tất cả các thiết bị di động
blogs3

Bạn đã tạo lời mời được chia sẻ trên Slack? Mật khẩu của bạn có thể bị xâm phạm

slack logo.jpg

Slack gần đây đã thông báo cho một số người dùng rằng mật khẩu của họ đã được đặt lại, bị xâm phạm do vi phạm bảo mật.

Đầu tháng 8, khoảng. 0,5 % người dùng Slack đã đặt lại mật khẩu sau khi IM phát hiện ra vi phạm bảo mật. Tỷ lệ này có vẻ tương đối thấp, nhưng vẫn rất đáng kể khi bạn biết rằng công ty này tuyên bố có hơn 10 triệu người dùng hoạt động hàng ngày.

Vi phạm an ninh tiên nghiệm Không có trọng lực

Nguyên tắc của lỗ hổng này như sau: ngay sau khi người dùng tạo hoặc xóa lời mời tham gia không gian thảo luận, tất cả các thành viên của không gian được đề cập sẽ nhận được phiên bản mật khẩu được mã hóa của họ.

Lỗ hổng này, theo Slack, dường như không được sử dụng cho mục đích xấu, mà nó đã tồn tại từ tháng 4 năm 2017. Đối với công ty Mỹ, nó chưa bao giờ bị khai thác. Phải nói rằng những người liên quan chỉ truyền một phiên bản mật khẩu được mã hóa của họ và cho những người mà họ biết trong hầu hết các trường hợp. Và trên hết, không có thông tin bí mật nào được hiển thị dưới dạng văn bản thuần túy vì lỗi này.

Hơn nữa, nếu trên lý thuyết những mật khẩu này được truyền đi, thì việc kiểm soát nội dung được mã hóa do nền tảng nhắn tin vận hành trên thực tế đã che giấu chúng khỏi những người dùng khác. Do đó, cần phải thực hiện bước tìm kiếm thông tin. Tuy nhiên, mặc dù rất khó để khôi phục mật khẩu từ phiên bản đã mã hóa của nó, nhưng không phải là hoàn toàn không thể, vì vậy đã đến lúc phải hành động.

Đội Slack đã phản ứng

Lỗ hổng bảo mật ban đầu được phát hiện bởi một nhà nghiên cứu bảo mật máy tính độc lập, người đã gửi dữ liệu của mình cho Slack vào ngày 17 tháng 7. Sự cố đã được khắc phục gần như ngay lập tức và những người bị ảnh hưởng đã được thông báo vào tuần đầu tiên của tháng Tám.

Như đã giải thích trước đó, lỗ hổng này không quá nghiêm trọng nhưng nền tảng nhắn tin vẫn rất coi trọng nó và cảnh báo bất kỳ ai có mật khẩu bị lộ một phần rằng họ nên đặt lại nó. Trước khi có thể kết nối lại, họ phải tạo một cái mới. Nếu bạn chưa nhận được thông báo này, nhưng lo ngại rằng bạn là một trong những tài khoản bị xâm phạm, bạn có thể xác minh thông báo đó bằng cách nhấp vào liên kết này.

Hơn nữa, giống như hầu hết các dịch vụ loại này, người dùng nên sử dụng nhận dạng kép để bảo mật cao hơn.

Nguồn: Máy tính Bleeping, Đăng ký

Khuyến Khích: