Slack restablece las contraseñas después de que un error expusiera contraseñas cifradas para algunos usuarios

Slack informó que tomó la medida de restablecer las contraseñas para aproximadamente el 0.5% de sus usuarios después de que una vulnerabilidad expusiera hashes de contraseña al crear o revocar enlaces de invitación compartidos para espacios de trabajo.

Hashing se refiere a una técnica criptográfica que transforma cualquier forma de datos en una salida de tamaño fijo (llamada valor hash o simplemente hash). Salting está diseñado para agregar una capa de seguridad adicional al proceso de hash para que sea resistente a los intentos de fuerza bruta.

La compañía propiedad de Salesforce, que reportó más de 12 millones de usuarios activos diarios en septiembre de 2019, no reveló el algoritmo hash exacto utilizado para proteger las contraseñas.

Se cree que el error afectó a todos los usuarios que crearon o revocaron enlaces de invitación compartidos entre el 17 de abril de 2017 y el 17 de julio de 2022, cuando un investigador de seguridad independiente no identificado alertó sobre el problema.

Cabe mencionar que las contraseñas codificadas no eran visibles para ningún cliente de Slack, lo que significa que el acceso a la información requería un monitoreo activo del tráfico de red encriptado que se originaba en los servidores de Slack.

Además, la compañía está utilizando el incidente para aconsejar a sus usuarios que activen la autenticación de dos factores como un medio para protegerse contra los intentos de apropiación de cuentas y crear contraseñas únicas para los servicios en línea.