Desta vez foi Frans Rosen o encarregado de alertar a comunidade sobre uma nova violação de segurança, desta vez em um dos aplicativos mais usados por todos os tipos de empresas para suas comunicações internas, como Slack.
Com base nas informações fornecidas pelo pesquisador de segurança do Detectify, o Slack parecia ter uma vulnerabilidade significativa em que um usuário com conhecimento suficiente poderia ter acesso total à conta e mensagens escrito por qualquer outro usuário da plataforma.
O Slack corrige uma falha de segurança séria em sua plataforma em questão de dias.
Uma vez descoberta a falha, Rosén contatou os dirigentes do Slack para comunicá-la, algo que surtiu grande efeito desde então em questão de dias, o bug foi corrigido para que o token de autenticação de um usuário não possa mais ser roubado para que, posteriormente, você possa personificá-lo.
Para quem não sabe, os tokens gerados pelo Slack são usados por bots, scripts ou outros programas para integração com o próprio Slack. Nem é preciso dizer que, se você conseguir essas informações, qualquer pessoa pode tenha acesso total à sua conta, equipes e mensagens que você enviou ou recebeu.
Aparentemente e de acordo com o que foi publicado, este token de autenticação pode ser roubado ao abrir uma página web maliciosa devido a uma falha na versão do navegador da própria plataforma Slack. Aparentemente, e de acordo com comentários Rosén foi capaz de detectar esta falha enquanto investigava um bug através do qual chamadas para outras pessoas podiam ser desligadas.
Como detalhe final, informamos que após comunicar essa falha ao Slack, a plataforma não só foi capaz de agir rapidamente para resolver o problema, mas também recompensada com 3.000 euros a Rosén por descobrir o fracasso.