Slack 在漏洞暴露某些用户的哈希密码后重置密码

Slack 表示，在创建或撤销工作区的共享邀请链接时，一个漏洞暴露了加盐密码哈希后，它采取了重置大约 0.5% 用户的密码的步骤。

“当用户执行这些操作中的任何一个时，Slack 会将其密码的散列版本传输给其他工作区成员，”企业通信和协作平台在 8 月 4 日的警报中表示。

散列是指一种将任何形式的数据转换为固定大小的输出（称为散列值或简称为散列）的加密技术。Salting旨在为哈希过程添加一个额外的安全层，以使其抵抗暴力尝试。

这家 Salesforce 拥有的公司在 2019 年 9 月报告了超过1200 万的每日活跃用户，但没有透露用于保护密码的确切哈希算法。

据说该漏洞影响了在 2017 年 4 月 17 日至 2022 年 7 月 17 日期间创建或撤销共享邀请链接的所有用户，当时该漏洞已被一位未具名的独立安全研究人员告知该问题。

值得指出的是，散列密码对任何 Slack 客户端都是不可见的，这意味着对信息的访问需要主动监控源自 Slack 服务器的加密网络流量。

“我们没有理由相信任何人都能够因为这个问题而获得明文密码，”Slack 在公告中指出。“但是，为了谨慎起见，我们已经重置了受影响用户的 Slack 密码。”

此外，该公司正在利用该事件建议其用户打开双重身份验证，以防止帐户接管尝试并为在线服务创建唯一密码。