Slack informó que tomó la medida de restablecer las contraseñas para aproximadamente el 0.5% de sus usuarios después de que una vulnerabilidad expusiera hashes de contraseña al crear o revocar enlaces de invitación compartidos para espacios de trabajo.
«Cuando un usuario realizaba cualquiera de estas acciones, Slack transmitía una versión codificada de su contraseña a otros miembros del espacio de trabajo», dijo la plataforma de comunicación y colaboración empresarial en una alerta del 4 de agosto.
Hashing se refiere a una técnica criptográfica que transforma cualquier forma de datos en una salida de tamaño fijo (llamada valor hash o simplemente hash). Salting está diseñado para agregar una capa de seguridad adicional al proceso de hash para que sea resistente a los intentos de fuerza bruta.
La compañía propiedad de Salesforce, que reportó más de 12 millones de usuarios activos diarios en septiembre de 2019, no reveló el algoritmo hash exacto utilizado para proteger las contraseñas.
Se cree que el error afectó a todos los usuarios que crearon o revocaron enlaces de invitación compartidos entre el 17 de abril de 2017 y el 17 de julio de 2022, cuando un investigador de seguridad independiente no identificado alertó sobre el problema.
Cabe mencionar que las contraseñas codificadas no eran visibles para ningún cliente de Slack, lo que significa que el acceso a la información requería un monitoreo activo del tráfico de red encriptado que se originaba en los servidores de Slack.
«No tenemos motivos para creer que alguien pudo obtener contraseñas de texto sin formato debido a este problema. Sin embargo, por precaución, hemos restablecido las contraseñas de Slack de los usuarios afectados», dice el aviso.
Además, la compañía está utilizando el incidente para aconsejar a sus usuarios que activen la autenticación de dos factores como un medio para protegerse contra los intentos de apropiación de cuentas y crear contraseñas únicas para los servicios en línea.