Slack Sicherheitslücke gefixt:
Potentieller Zugriff auf Fremd-Accounts

Der schwedische Sicherheits-Forscher Frans Rosén hat Anfang der Woche eine kritische Schwachstelle im beliebten Messenger Slack entdeckt, die Unbefugten unter Umständen den vollen Zugriff auf den Chat-Verlauf und auf geteilte Daten erlaubt. Slack konnte die Sicherheitslücke bereits schließen. Der Messenger-Dienst Slack hat vorbildlich und schnell auf die Meldung des schwedischen Entwicklers reagiert und am vergangenen Freitag innerhalb von gerade einmal fünf Stunden eine Lösung für die Sicherheitslücke präsentiert. Wie Frans Rosén berichtet, hat sich Slack bei ihm kurz nach der Übermittlung der Schwachstelle gemeldet und ihm aus ihrem Bug-Bounty-Programm 3.000 US-Dollar ausgezahlt. Dazu ließ Slack laut einem Bericht von The Verge mitteilen, dass man sich über Engagement von außen freue und daher gern in die Sicherheit der Nutzer mit dem Belohnungs-Programm investiere.

Proof-of-Concept

Der gemeldete Fehler hing mit Slacks Authentifizierungs-Token zusammen. Rosén konnte in einem Proof-of-Concept zeigen, wie sich Fremde einfach in einen Account einloggen konnten und dort zum Beispiel den kompletten Chat-Verlauf, inklusive übermittelter Dateien, einsehen konnte.

Zugriff über manipulierte Webseite

Dazu wird eine manipulierte Webseite genutzt, mit deren Hilfe der Unbefugte den Token abfangen und sich so an Stelle des Account-Inhabers einloggen konnte.

Entwarnung

Betroffen waren damit im Prinzip alle rund vier Millionen tägliche Nutzer des Dienstes. Mit einem Update hat Slack diesen Überprüfungsfehler laut eigenen Angaben bereits ausschalten können. Laut dem Unternehmen hat man neben der Schließung der Lücke Zeit in die Recherche gesteckt, um nachvollziehen zu können, ob die Lücke aktiv ausgenutzt wurde. Bislang hat man keinen Hinweis darauf entdeckt und kann daher erst einmal Entwarnung geben.

Download Microsoft Teams Preview