【社群媒體資安近況】
👩💻👩💻👩💻部分 Slack 用戶因邀請連結雜湊遭外洩而需重設密碼📲📲📲
受到廣泛採用的企業即時通訊服務 Slack,日前通知部分用戶,因為修復了一個邀請連結雜湊外洩的錯誤,必須重置這些客戶的登入密碼。收到這項通知的用戶,約占 Slack 所有用戶數的 0.5%。
Slack 表示,該漏洞會在用戶產生或取消邀請連結時,會傳送一個經過雜湊運算的密碼;雖然要從雜湊值反向運算,以得到正確密碼的機率相當低,再加上駭侵者必須密集監聽 Slack 伺服器的網路傳輸資訊,但這仍屬於不安全的資料傳輸方式。
該漏洞是由未公開的獨立資安研究人員,於 7 月 17 日向 Slack 通報;Slack 獲報後立即修復改漏洞,且重置可能受影響用戶的登入密碼。
即使不容易透過雜湊值反向算出正確密碼,Slack 仍建議所有用戶使用強式密碼、啟用二階段登入驗證功能,並且避免在不同服務之間使用相同密碼,以避免自己的帳戶遭到駭侵者不當存取。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6402-c5cbf-1.html
沒有留言:
張貼留言