Slack a déclaré avoir pris l’initiative de réinitialiser les mots de passe pour environ 0,5 % de ses utilisateurs après qu’une faille a exposé des hachages de mots de passe salés lors de la création ou de la révocation de liens d’invitation partagés pour les espaces de travail.
« Lorsqu’un utilisateur effectuait l’une de ces actions, Slack transmettait une version hachée de son mot de passe aux autres membres de l’espace de travail », la plateforme de communication et de collaboration d’entreprise a dit dans une alerte le 4 août.
Le hachage fait référence à une technique cryptographique qui transforme toute forme de données en une sortie de taille fixe (appelée valeur de hachage ou simplement hachage). Salaison est conçu pour ajouter une couche de sécurité supplémentaire au processus de hachage afin de le rendre résistant aux tentatives de force brute.
La société appartenant à Salesforce, qui a déclaré plus de 12 millions d’utilisateurs actifs quotidiens en septembre 2019, n’a pas révélé l’exact algorithme de hachage utilisé pour sauvegarder les mots de passe.
Le bogue aurait eu un impact sur tous les utilisateurs qui ont créé ou révoqué des liens d’invitation partagés entre le 17 avril 2017 et le 17 juillet 2022, date à laquelle il a été alerté du problème par un chercheur indépendant en sécurité anonyme.
Il convient de souligner que les mots de passe hachés n’étaient visibles pour aucun client Slack, ce qui signifie que l’accès aux informations nécessitait une surveillance active du trafic réseau crypté provenant des serveurs de Slack.
« Nous n’avons aucune raison de croire que quiconque ait pu obtenir des mots de passe en clair à cause de ce problème », a noté Slack dans l’avis. « Cependant, par souci de prudence, nous avons réinitialisé les mots de passe Slack des utilisateurs concernés. »
De plus, la société utilise l’incident pour conseiller à ses utilisateurs d’activer l’authentification à deux facteurs comme moyen de se protéger contre les tentatives de prise de contrôle de compte et de créer des mots de passe uniques pour les services en ligne.