Slack gesteht Passwort-Panne
Slack gesteht Passwort-Panne
Bildquelle: StockSnap, thx!, Lizenz

Slack gesteht Passwort-Panne – Fehler nach 5 Jahren behoben

Der im Unternehmensumfeld beliebte Messenger-Dienst Slack, verteilte die letzten 5 Jahre Passwort-Hashes an andere Benutzer.

Ein Fehler in dem beliebten Messenger-Dienst Slack, verteilte Passwort-Hashes seiner Benutzer an andere Mitglieder seines Arbeitsbereiches. Betroffene Anwender müssen sich vor dem nächsten Login ein neues Passwort vergeben.

Slack übermittelte Passwort-Hashes an andere Benutzer

Wie Slack in seinem Blog mitteilt, ist dem Unternehmen ein Fehler im Umgang mit gespeicherten Passwörtern unterlaufen. Betroffen waren demnach alle Benutzer, die zwischen dem 17. April 2017 und dem 17. Juli 2022 geteilte Einladungslinks für ihren Arbeitsbereich in der Software des Unternehmens erstellt oder widerrufen haben. Ein Zeitraum von immerhin fünf Jahren. Die betroffenen 0,5% aller Slack-Benutzer erhielten am 4. August 2022 eine Information darüber, dass ihre Passwörter zurückgesetzt wurden. Beim nächsten Login wird die Software sie demnach zur Vergabe eines neuen Passwortes auffordern.

Die Passwörter der Benutzer, die ihren Arbeitsbereich in Slack teilten, wurden durch den Fehler als Hash an andere Mitglieder des Arbeitsbereichs übertragen. In den Slack-Clients waren diese jedoch niemals sichtbar. Um die Hash-Version des Kennworts sichtbar zu machen, war eine aktive Überwachung des verschlüsselten Netzwerkverkehrs von den Slack-Servern erforderlich. Somit erforderte die erfolgreiche Ausnutzung der Schwachstelle eine gewisse technische Expertise.

Keine Gefahr zu erwarten, dank Hashing und Salting

Selbst wenn eine Person den Passwort-Hash hätte abfangen können, ist es je nach verwendetem Hashing-Algorithmus sowie der Komplexität des Passworts enorm aufwendig bis nahezu unmöglich, daraus das ursprüngliche Passwort zu ermitteln. Denn Hashing ist für gewöhnlich eine Einbahnstraße. Der Prozess ist darauf ausgelegt, nicht umkehrbar zu sein.

Zusätzlich waren die Passwörter laut Slack auch noch “gesalzen” (salted), wodurch dem Passwort vor dem Hashing weitere zufällige Zeichen hinzugefügt werden, um die Sicherheit zusätzlich zu steigern. Das erhöht den Rechenaufwand, um das ursprüngliche Passwort zu ermitteln, nochmal deutlich.

Es ist damit zwar nach wie vor nicht unmöglich, das Passwort zu errechnen, doch der Aufwand wird durch diese Verfahren so enorm groß, dass es sich für einen Angreifer für gewöhnlich nicht lohnt, ihn aufzubringen. Er müsste etliche Jahre darauf warten, um ein einziges Passwort zu knacken. Wahrscheinlich wäre es weniger Aufwand, die Hirnwellen des Opfers auszuwerten, um an sein Passwort zu gelangen.

Den Fehler hat Slack laut eigener Aussage unmittelbar behoben, nachdem Sicherheitsforscher das Unternehmen darauf aufmerksam machten. “Wir haben keinen Grund zu der Annahme, dass aufgrund dieses Problems jemand Klartext-Passwörter erhalten konnte“, beruhigt das Unternehmen seine Benutzer. Das Zurücksetzen der Passwörter aller betroffenen Benutzer sei eine reine Vorsichtsmaßnahme.

Tarnkappe.info

Kategorie: Hacking, Softwareentwicklung
Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.