НОВОСТИ Файлы из приватных чатов slack подвержены утечкам

ТОНИ СТАРК

Знаменитый
ПРЕССА ФОРУМА
PREMIUM USER

ТОНИ СТАРК

Знаменитый
ПРЕССА ФОРУМА
PREMIUM USER
Регистрация
11 Ноя 2019
Сообщения
1,667
Реакции
72
Репутация
0
Механизм обмена файлами в Slack содержит серьезную уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации. Об этом заявили ИБ-специалисты израильской компании Polyrize.

По мнению экспертов, файлы, размещенные в приватной переписке или закрытом чате, могут стать доступны пользователям вне этой беседы. Разработчики мессенджера назвали баг недостатком интерфейса и не планируют вносить изменения в алгоритмы программы.

Какие данные могут утечь из Slack
Как следует из видео, опубликованного исследователями, любой участник закрытого чата имеет возможность переслать выложенные там посты и сниппеты в публичные каналы, где они станут доступны всем пользователям рабочего пространства. ИБ-специалисты выяснили, что данные остаются в общем чате, даже если автор применил функцию unsharing, которая должна заблокировать доступ.

Представитель Polyrize отметил, что эксплуатация уязвимости возможна не только через графический интерфейс мессенджера, но и при использовании API приложения.

Эксперты сообщили о своей находке разработчикам Slack, однако те не собираются вносить изменения в работу программы. Как пояснили создатели мессенджера, проблема касается лишь двух опций для расшаривания объемного контента — Posts и Snippets, в то время как большинство файлов, которыми пользователи обмениваются в Slack, к этим типам не относится. Представители команды Slack поблагодарили исследователей и обещали скорректировать пользовательский интерфейс, однако подчеркнули, что модель безопасности обмена сниппетами и постами останется неизменной.

В мае 2019 года ИБ-специалист Дэвид Уэллс (David Wells) нашел уязвимость в механизме загрузки файлов из Slack. Эксперт выяснил, что Windows-приложение неправильно обрабатывает ссылки вида slack://. Используя баг, злоумышленник мог изменить адрес сохранения объектов, указав в качестве целевой папки даже удаленный сервер. Жертве достаточно было перейти по вредоносной ссылке, чтобы ее загрузки стали доступны киберпреступнику. Разработчики Slack залатали баг с выпуском версии 3.4.0.
 
Сверху