Tym razem tak było Fransa Rosena osoba odpowiedzialna za ostrzeganie społeczności o nowej luce w zabezpieczeniach, tym razem w jednej z aplikacji najczęściej używanych przez wszelkiego rodzaju firmy do komunikacji wewnętrznej, takiej jak Slack.
Z informacji dostarczonych przez badacza bezpieczeństwa Detectify wynika, że Slack posiadał poważną lukę, dzięki której użytkownik posiadający wystarczającą wiedzę mógł pełny dostęp zarówno do konta, jak i wiadomości napisane przez dowolnego innego użytkownika platformy.
Slack w ciągu kilku dni naprawia poważną lukę w zabezpieczeniach swojej platformy.
Po wykryciu błędu Rosén skontaktował się z liderami Slacka, aby go zgłosić, co od tego czasu przyniosło świetny efekt W ciągu kilku dni błąd został naprawiony aby nie można było już ukraść tokenu uwierzytelniającego użytkownika i móc później się pod niego podszywać.
Dla tych, którzy nie wiedzą, tokeny generowane przez Slacka służą botom, skryptom lub innym programom do integracji z samym Slackiem. Nie trzeba dodawać, że jeśli uda Ci się zdobyć te informacje, każdy może to zrobić masz pełny dostęp do swojego konta, urządzeń i wiadomości które wysłałeś lub otrzymałeś.
Najwyraźniej i jak opublikowano, ten token uwierzytelniający może zostać skradziony podczas otwierania złośliwej strony internetowej z powodu luki w przeglądarkowej wersji samej platformy Slack. Podobno i według komentarzy Rosén był w stanie wykryć ten błąd, badając błąd, dzięki któremu można było rozłączać połączenia z innymi osobami..
Na koniec chciałbym powiedzieć, że po powiadomieniu Slacka o tej awarii platforma nie tylko była w stanie szybko podjąć działania w celu rozwiązania problemu, ale także nagrodziła 3.000 euro Rosenowi za odkrycie niepowodzenia.