in

Vulnerabilidade crítica do Slack permitiu que contas de vítimas fossem invadidas

O Slack solucionou uma falha crítica dentro de 24 horas após a sua divulgação. O problema permitiu que os invasores realizassem o controle automático da conta.

O pesquisador Evan Custodio descobriu uma vulnerabilidade crítica no Slack que pode ter permitido que os invasores assumissem o controle de contas.

O Slack tratou a vulnerabilidade em 24 horas. A empresa recompensou Custodio com US$ 6.500 por ele ter relatado a vulnerabilidade.

O especialista explicou que o bug é extremamente crítico não apenas para o Slack. Por exemplo, todos os clientes e organizações que compartilham seus dados/canais/conversas particulares no Slack poderiam ter seus dados comprometidos.

Ele explicou:

Essa é uma vulnerabilidade crítica grave que pode levar a uma violação maciça dos dados da maioria dos clientes. Com este ataque, seria trivial para um ator ruim criar bots que […] pulam na sessão da vítima e roubam todos os dados possíveis ao seu alcance.

Vulnerabilidade crítica do Slack

Um invasor pode ter explorado esse problema para criar bots automatizados capazes de acessar a sessão Slack de uma vítima e roubar dados confidenciais.

Como Custodio explicou em sua descrição detalhada, a cadeia de erros que lhe permitia roubar cookies de sessões incluía várias etapas.

Vulnerabilidade crítica do Slack permitiu que contas de vítimas fossem invadidas
A empresa recompensou Custodio com US$ 6.500 por ele ter relatado a vulnerabilidade.

Assim, o bug poderia permitir o roubo de cookies e a utilização destes em um navegador para assumir uma conta.

Além disso, o Slack abordou outro problema, que permitiria que um invasor que estivesse executando um site mal-intencionado roubasse tokens XOXS e ganhasse controle total sobre as contas das vítimas.

Por fim, a falha foi relatada pelo pesquisador Frans Rosen que recebeu uma recompensa de US$ 3.000.

Fonte: Security Affairs

Leia mais:

Hackers recebem US$ 1,6 milhão por dados de cartões roubados em lojas on-line

Operação PANDA-19 Hackers chineses impulsionam a cadeia de infecção cibernética COVID-19

Hackers estão usando mapas de coronavírus para infectar seu computador

Ex-funcionário da CIA vazou ferramentas secretas de hackers da CIA para o WikiLeaks

A maioria dos ataques ao setor de telecomunicações em 2019 foi realizada por hackers ligados à China