La herramienta de comunicación en equipo Slack ha realizado el reinicio de las contraseñas de una parte de los usuarios tras verse expuesto el hash de estas al crear o revocar enlaces de invitación a workspaces.
Slack ha reportado que se han visto afectados un 0.5% de los usuarios tras la exposición de los hashes de las contraseñas.
El error se encontraba cuando un usuario realizaba alguna de las acciones de crear o revocar un enlace de invitación a los espacios de trabajo de Slack. En ese momento Slack transmitía la versión hashed de la contraseña a los otros miembros del espacio de trabajo.
La compañía no ha respondido a las preguntas acerca del algoritmo de hashing utilizado o si el incidente ha provocado evaluaciones más críticas de la arquitectura de gestión de contraseñas.
Es un tema muy preocupante que a día de hoy sigan ocurriendo fallos de seguridad tan graves debidos a un mal diseño inicial de la aplicación. Hay que darle valor a la seguridad de una aplicación e invertir en un mantenimiento y revisión de código activo para evitar situaciones como esta.
En los últimos años se está observando cómo las empresas y gobiernos aumentan el gasto en materia de ciberseguridad al ser más conscientes de la importancia de mantener seguros los activos digitales, y lo peligroso que puede llegar a ser tener expuestos datos o sistemas.
Se recomienda que si se ha recibido una notificación de Slack, se cambie la contraseña y se asegure que el segundo factor de autenticación está activado. Además también se recomienda no utilizar una misma contraseña en servicios distintos, para que en el caso de ser expuesta en uno de ellos, no se puedan ver vulnerados los accesos a otros servicios.
Referencias:
https://www.wired.com/story/slack-hashed-passwords-exposed/
La entrada Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios se publicó primero en Una al Día.
