今回は フランローゼン コミュニティに新たなセキュリティ侵害を警告する責任者。今回は、次のような内部通信のためにすべてのタイプの企業で最も使用されているアプリケーションのXNUMXつです。 Slack .
Detectifyのセキュリティ研究者から提供された情報に基づくと、Slackには重大な脆弱性があり、十分な知識を持つユーザーが アカウントとメッセージの両方へのフルアクセス プラットフォームの他のユーザーによって書かれました。
Slackは、プラットフォームの重大なセキュリティ上の欠陥を数日で修正します。
バグが発見されると、RosénはSlackのリーダーに連絡してバグを伝えました。これは、それ以来大きな効果をもたらしています。 数日のうちにバグにパッチが適用されました これにより、ユーザーの認証トークンが盗まれることがなくなり、後で偽装できるようになります。
知らない人のために、Slackによって生成されたトークンは、ボット、スクリプト、またはその他のプログラムがSlack自体と統合するために使用されます。 言うまでもなく、このデータを入手できれば、誰でも アカウント、機器、メッセージに完全にアクセスできます 送信または受信したもの。
明らかに、公開されている内容によると、Slackプラットフォーム自体のブラウザのバージョンに欠陥があるため、悪意のあるWebページを開くときにこの認証トークンが盗まれる可能性があります。 どうやら、そしてコメントによると Rosénは、他の人への電話を切る可能性のあるバグを調査しているときに、この失敗を検出することができました.
最後の詳細として、この失敗をSlackに伝えた後、プラットフォームは問題を解決するために迅速に行動することができただけでなく、 3.000のユーロ 失敗を発見してくれたRosénに。