이번에는 프란스 로젠 새로운 보안 침해에 대해 커뮤니티에 경고하는 역할을 담당하는 사람입니다. 이번에는 모든 유형의 회사에서 다음과 같은 내부 커뮤니케이션을 위해 가장 많이 사용하는 애플리케이션 중 하나입니다. 느슨하게.
Detectify 보안 연구원이 제공 한 정보에 따르면 Slack은 충분한 지식을 가진 사용자가 계정과 메시지 모두에 대한 전체 액세스 플랫폼의 다른 사용자가 작성했습니다.
Slack은 며칠 만에 플랫폼의 심각한 보안 결함을 수정합니다.
버그가 발견되자 Rosén은 Slack의 리더에게 연락하여이를 전달했습니다. 며칠 만에 버그가 패치되었습니다. 사용자의 인증 토큰을 더 이상 도난 당하지 않도록 나중에이를 가장 할 수 있습니다.
모르는 사람들을 위해 Slack에서 생성 된 토큰은 봇, 스크립트 또는 기타 프로그램에 사용되어 Slack 자체와 통합됩니다. 말할 필요도없이이 데이터를 확보 할 수 있다면 누구나 계정, 팀 및 메시지에 대한 전체 액세스 권한이 있습니다. 보내거나받은 것.
공개 된 내용에 따르면이 인증 토큰은 Slack 플랫폼 자체의 브라우저 버전 결함으로 인해 악성 웹 페이지를 열 때 도난 당할 수 있습니다. 분명히, 그리고 의견에 따르면 Rosén은 다른 사람에게 전화를 끊을 수있는 버그를 조사하는 동안이 오류를 감지 할 수있었습니다..
마지막으로,이 실패를 Slack에 전달한 후 플랫폼은 문제를 해결하기 위해 신속하게 조치 할 수 있었을뿐만 아니라 3.000 유로 실패를 발견 한 Rosén에게.