Slack setzt Hunderttausende Passwörter zurück

Eine ganze Reihe Anwenderinnen und Anwender von Slack haben in den letzten Tagen ein neues Passwort einrichten müssen. Wie der Business-Messengerdienst mitteilt, setzte er bei rund 0,5 Prozent seiner Mitglieder das Passwort zurück. Nach eigenen Angaben hat Slack mehr als 10 Millionen monatlicher User. Demnach dürften von der Massnahme mehrere Hunderttausend Konten betroffen sein.

Hintergrund der Aktion ist laut Slack eine Schwachstelle, die von einem unabhängigen Sicherheitsforscher entdeckt und inzwischen behoben wurde. Aufgrund des Fehlers wurde jedes Mal, wenn ein Slack-User eine Einladung zum Teilen eines Workspaces verschickte oder zurückzog, eine gehashte Version seines Passwortes an die anderen Mitglieder des Workspaces verschickt. Betroffen seien alle Nutzerinnen und Nutzer, die zwischen dem 17. April 2017 und dem 17. Juni 2022 Einladungen erstellt oder zurückgezogen haben.

Zwar sei die Übertragung der Passwort-Hashes im Verborgenen passiert, merkt Slack an. Wer jedoch den Netzwerkverkehr aktiv überwachte, hätte sie mitschneiden können. "Wir haben keinen Grund zu der Annahme, dass jemand aufgrund dieses Problems in der Lage war, Klartextpasswörter zu erhalten", heisst es in der Mitteilung weiter. Vorsichtshalber habe man jedoch die Passwörter der vom Fehler betroffenen Nutzerinnen und Nutzer zurückgesetzt.

Der Messengerdienst Slack wurde Ende 2020 von Salesforce gekauft. Der ERP-Spezialist bezahlte 27 Milliarden US-Dollar, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.