Passwort-Leck bei Slack – zehntausende Kennwörter zurückgesetzt

Ein Bug im Messengerdienst Slack legte die gehashten Passwörter einiger Nutzerinnen und Nutzer fünf Jahre lang offen, wie «Wired» berichtet (engl.).

Wenn Benutzer einen Link (geteilte Einladung) erstellten oder widerriefen – den andere versenden konnten, um sich für einen bestimmten Slack-Arbeitsbereich anzumelden –, übertrug der Befehl versehentlich auch das gehashte Passwort an andere Mitglieder dieses Arbeitsbereichs.

Das gehashte Passwort war laut Slack in keinem Slack-Client sichtbar, wie das Unternehmen im Blog schreibt. Es habe sich herausgestellt, dass eine aktive Überwachung des verschlüsselten Netzwerk-Traffics der Slack-Server erforderlich war. «Dieser Fehler wurde von einem unabhängigen Sicherheitsforscher entdeckt und uns am 17. Juli 2022 mitgeteilt», schreibt Slack im Blog.

Die Schwachstelle betraf die Passwörter aller Personen, die während eines Zeitraums von fünf Jahren (zwischen 17. April 2017 und 17. Juli 2022) einen gemeinsamen Einladungslink erstellt oder widerrufen haben.

Nach Angaben von Slack ist das Zurücksetzen des Passworts eine Vorsichtsmassnahme. Man habe keinen Grund anzunehmen, dass die Schwachstelle aktiv ausgenutzt wurde. Informationen zum Zurücksetzen von Slack-Passwörtern finden Sie hier.

Slack hat laut «Wired» im Jahr 2019 angegeben, mehr als 10 Millionen aktive Nutzer täglich zu haben. Nach Angaben von Slack hat das Unternehmen bei etwa 0,5 Prozent aller Benutzerinnen und Benutzer das Passwort zurückgesetzt – das würde daher etwa 50'000 entsprechen. In der Zwischenzeit könnte Slack die Nutzerzahl natürlich massiv erhöht haben.