Der im Unternehmensumfeld beliebte Messenger-Dienst Slack, verteilte die letzten 5 Jahre Passwort-Hashes an andere Benutzer.
Ein Fehler in dem beliebten Messenger-Dienst Slack, verteilte Passwort-Hashes seiner Benutzer an andere Mitglieder seines Arbeitsbereiches. Betroffene Anwender müssen sich vor dem nächsten Login ein neues Passwort vergeben.
Slack übermittelte Passwort-Hashes an andere Benutzer
Wie Slack in seinem Blog mitteilt, ist dem Unternehmen ein Fehler im Umgang mit gespeicherten Passwörtern unterlaufen. Betroffen waren demnach alle Benutzer, die zwischen dem 17. April 2017 und dem 17. Juli 2022 geteilte Einladungslinks für ihren Arbeitsbereich in der Software des Unternehmens erstellt oder widerrufen haben. Ein Zeitraum von immerhin fünf Jahren. Die betroffenen 0,5% aller Slack-Benutzer erhielten am 4. August 2022 eine Information darüber, dass ihre Passwörter zurückgesetzt wurden. Beim nächsten Login wird die Software sie demnach zur Vergabe eines neuen Passwortes auffordern.
Die Passwörter der Benutzer, die ihren Arbeitsbereich in Slack teilten, wurden durch den Fehler als Hash an andere Mitglieder des Arbeitsbereichs übertragen. In den Slack-Clients waren diese jedoch niemals sichtbar. Um die Hash-Version des Kennworts sichtbar zu machen, war eine aktive Überwachung des verschlüsselten Netzwerkverkehrs von den Slack-Servern erforderlich. Somit erforderte die erfolgreiche Ausnutzung der Schwachstelle eine gewisse technische Expertise.
Keine Gefahr zu erwarten, dank Hashing und Salting
Selbst wenn eine Person den Passwort-Hash hätte abfangen können, ist es je nach verwendetem Hashing-Algorithmus sowie der Komplexität des Passworts enorm aufwendig bis nahezu unmöglich, daraus das ursprüngliche Passwort zu ermitteln. Denn Hashing ist für gewöhnlich eine Einbahnstraße. Der Prozess ist darauf ausgelegt, nicht umkehrbar zu sein.
Zusätzlich waren die Passwörter laut Slack auch noch „gesalzen“ (salted), wodurch dem Passwort vor dem Hashing weitere zufällige Zeichen hinzugefügt werden, um die Sicherheit zusätzlich zu steigern. Das erhöht den Rechenaufwand, um das ursprüngliche Passwort zu ermitteln, nochmal deutlich.
Es ist damit zwar nach wie vor nicht unmöglich, das Passwort zu errechnen, doch der Aufwand wird durch diese Verfahren so enorm groß, dass es sich für einen Angreifer für gewöhnlich nicht lohnt, ihn aufzubringen. Er müsste etliche Jahre darauf warten, um ein einziges Passwort zu knacken. Wahrscheinlich wäre es weniger Aufwand, die Hirnwellen des Opfers auszuwerten, um an sein Passwort zu gelangen.
Den Fehler hat Slack laut eigener Aussage unmittelbar behoben, nachdem Sicherheitsforscher das Unternehmen darauf aufmerksam machten. „Wir haben keinen Grund zu der Annahme, dass aufgrund dieses Problems jemand Klartext-Passwörter erhalten konnte„, beruhigt das Unternehmen seine Benutzer. Das Zurücksetzen der Passwörter aller betroffenen Benutzer sei eine reine Vorsichtsmaßnahme.