Kollaborationssoftware: Slack schließt jahrelanges Datenleck

Slack hat etliche Nutzer aufgefordert, ihr Passwort zu ändern. Über eine Sicherheitslücke wurden über Jahre Hashes der Passwörter versendet.

Artikel veröffentlicht am ,
Slack hat Passworthashes geteilt.
Slack hat Passworthashes geteilt. (Bild: Slack)

Die Kollaborationssoftware Slack hat in bestimmten Fällen die gehashten Passwörter an andere Nutzer übermittelt. Man habe rund 0,5 Prozent der Nutzer aufgefordert, ihr Passwort zu ändern, teilte Slack mit. Was nach wenig klingt, sind bei vom Onlinemagazin The Register geschätzten 10 Millionen täglich aktiven Nutzern eine ganze Menge.

Stellenmarkt
  1. Fachinformatiker (m/w/d) für Systemintegration zur IT-Administration an den landkreiseigenen ... (m/w/d)
    Landratsamt Schweinfurt, Schweinfurt
  2. (Junior) IT Business Partner / Demand Manager - Sales Units (m/w/d)
    Jungheinrich AG, Hamburg
Detailsuche

Laut Slack wurden die gehashten Passwörter übermittelt, wenn Nutzer einen gemeinsamen Einladungslink für einen Arbeitsbereich erstellten oder widerriefen. Die Daten seien dann an alle Mitglieder des Arbeitsbereichs gesendet worden, erklärte Slack. In der Software sei der Passworthash allerdings nicht angezeigt worden, vielmehr habe der am Gerät ankommende Netzwerkverkehr untersucht werden müssen, um an den Passworthash zu gelangen.

Entdeckt hatte das Problem ein Sicherheitsforscher, der es am 17. Juli 2022 an Slack meldete. Dort wurde das schon seit längerer Zeit bestehende Problem umgehend behoben. Betroffen sind demnach Nutzer, die im Zeitraum zwischen dem 17. April 2017 und dem 17. Juli 2022 entsprechende Einladungslinks erstellten oder widerriefen. Weitere Details zu dem Problem nannte Slack nicht.

Gehashte Passwörter sollen nicht geknackt werden können

Auch das eingesetzte Hashingverfahren nannte das Unternehmen nicht, auf Nachfrage hat Golem.de bisher noch keine Antwort erhalten. Die Passwörter seien vor dem Hashen mit einem sogenannten Salt (engl. Salz) verlängert worden, teilte Slack mit. "Es ist praktisch nicht möglich, ein Kennwort aus dem Hash abzuleiten, und niemand kann den Hash direkt zur Authentifizierung verwenden", betonte der Anbieter. Je nach eingesetztem Hashingverfahren, Passwortlänge und vorhandener Rechenpower können Passwörter jedoch durchaus geknackt werden.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    27./28.10.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    06./07.10.2022, Virtuell
Weitere IT-Trainings

Bei den betroffenen Nutzern wurde das Passwort zurückgesetzt, sie müssen ein neues Kennwort wählen. Slack empfiehlt zudem, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  2. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

  3. Firefly Aerospace: Rakete erreicht den Orbit
    Firefly Aerospace
    Rakete erreicht den Orbit

    Der zweite Start der Alpha-Rakete war erfolgreich. Sie hat Satelliten in einer niedrigen Erdumlaufbahn ausgesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /