En esta ocasión ha sido Frans Rosén el encargado de advertir a la comunidad de un nuevo fallo de seguridad, en esta ocasión en una de las aplicaciones más utilizadas por todo tipo de empresas para sus comunicaciones internas como puede ser Slack.
Según la información proporcionada por el investigador de seguridad de Detectify, al parecer Slack tenía una importante vulnerabilidad mediante la cual un usuario con suficientes conocimientos podría tener total acceso tanto a la cuenta como a los mensajes escritos por cualquier otro usuario de la plataforma.
Slack corrige en cuestión de días un grave fallo de seguridad en su plataforma.
Una vez descubierto el fallo, Rosén se puso en contacto con los dirigentes de Slack para comunicarlo, algo que ha surtido un gran efecto ya que en cuestión de días el fallo ha sido parcheado de forma que ya no se pueda robar el token de autenticación de un usuario para así, posteriormente, poder hacerte pasar por él.
Para el que no lo sepa, los token generados por Slack sirven para que los bots, scripts u otros programas se integren con el propio Slack. Sobra decir que, si consigues hacerte con este dato, cualquier persona puede tener acceso total a tu cuenta, equipos y mensajes que hayas enviado o recibido.
Al parecer y según ha sido publicado, este token de autenticación podía ser robado al abrir una página web maliciosa debido a un fallo en la versión para el navegador de la propia plataforma de Slack. Al parecer, y según comenta Rosén, pudo detectar este fallo mientras investigaba un bug mediante le cual se podía colgar las llamadas a otras personas.
Como detalle final, comentarte que tras comunicar este fallo a Slack, la plataforma no solo pudo actuar con rapidez para solventar el problema, sino que además recompensaron con 3.000 euros a Rosén por descubrir el fallo.