O pesquisador Evan Custodio descobriu uma vulnerabilidade crítica no Slack que pode ter permitido que os invasores assumissem o controle de contas.

O Slack tratou a vulnerabilidade em 24 horas. A empresa recompensou Custodio com US$ 6.500 por ele ter relatado a vulnerabilidade.

So I did promise blog posts on RS CLTE-style attacks, I guess this will have to do for now. Often times with RS hijacking you can throw a victim into an open redirect to steal their tokens/cookies. Many thanks to @SlackHQ for fixing this within 24-hours of discovery #bugbounty https://t.co/EUm6pNgjlF

— Evan Custodio (@defparam) March 12, 2020

O especialista explicou que o bug é extremamente crítico não apenas para o Slack. Por exemplo, todos os clientes e organizações que compartilham seus dados/canais/conversas particulares no Slack poderiam ter seus dados comprometidos.

Ele explicou:

Essa é uma vulnerabilidade crítica grave que pode levar a uma violação maciça dos dados da maioria dos clientes. Com este ataque, seria trivial para um ator ruim criar bots que […] pulam na sessão da vítima e roubam todos os dados possíveis ao seu alcance.

Vulnerabilidade crítica do Slack

Um invasor pode ter explorado esse problema para criar bots automatizados capazes de acessar a sessão Slack de uma vítima e roubar dados confidenciais.

Como Custodio explicou em sua descrição detalhada, a cadeia de erros que lhe permitia roubar cookies de sessões incluía várias etapas.

A empresa recompensou Custodio com US$ 6.500 por ele ter relatado a vulnerabilidade.

Assim, o bug poderia permitir o roubo de cookies e a utilização destes em um navegador para assumir uma conta.

Além disso, o Slack abordou outro problema, que permitiria que um invasor que estivesse executando um site mal-intencionado roubasse tokens XOXS e ganhasse controle total sobre as contas das vítimas.

Por fim, a falha foi relatada pelo pesquisador Frans Rosen que recebeu uma recompensa de US$ 3.000.

Fonte: Security Affairs

Operação PANDA-19 Hackers chineses impulsionam a cadeia de infecção cibernética COVID-19

Hackers estão usando mapas de coronavírus para infectar seu computador

Ex-funcionário da CIA vazou ferramentas secretas de hackers da CIA para o WikiLeaks

A maioria dos ataques ao setor de telecomunicações em 2019 foi realizada por hackers ligados à China

Linus Torvalds: “As pessoas me levam muito a sério”

Vulnerabilidade crítica do Slack permitiu que contas de vítimas fossem invadidas

Vulnerabilidade crítica do Slack

Conheça as melhores alternativas gratuitas e de código aberto para o Blogger

Veja também

Novo kernel Linux-libre 6.8-gnu: lançamento com atualizações e frustração

IA se defende contra IA: avanços na cibersegurança impulsionados pela inteligência artificial

Série do Google no YouTube pode ajudar iniciantes a entenderem SEO

Google pode acabar com o ChatGPT