آسیب‌پذیری در Slack و سرقت حساب‌های کاربری توسط مهاجمان

یک آسیب‌پذیری در کارخواهِ گفتگوی کاری Slack کشف شده که مهاجمان را قادر می‌سازد حساب‌های کاربری افراد را به سرقت برده و کنترل کاملی بر روی ارتباطات انجام‌شده در آن داشته باشند. خوشبختانه این آسیب‌پذیری وصله شده و شما می‌توانید برنامه‌های خود را به‌روزرسانی کنید.

این آسیب‌پذیری توسط یکی از محققان شرکت Detectify با نام فرانس روسن کشف شده است. به گزارش روسن، با وادار کردن کاربر برای بازدید از صفحات مخرب، مهاجمان می‌توانند رمزواره‌های Slack افراد را به سرقت ببرند.

روسن توضیح می‌دهد زمانی که می‌خواست با استفاده از مرورگرهای نسخه‌ی Slack تماس‌های سایر افراد را قطع کند، خودش با قطعی مواجه شده و متوجه شده مشکلی وجود دارد. یک آسیب‌پذیری دیگر که در بخش تماس‌ها وجود داشت به این محقق اجازه می‌داد تمامی پیام‌هایی که به برنامه‌های رایانامه‌ای ارسال می‌شد را شنود کند.

روسن یک کد بهره‌برداری را توسعه داده که با استفاده از آن می‌توان از طریق صفحات وب مخرب، رمزواره‌های Slack را به سرقت برده و آن‌ها را ذخیره کرد. به‌طور خلاصه، زمانی‌که کاربر یک صفحه‌ی مخرب را باز می‌کند، تماس Slack باز می‌شود و یک WebSocket تلاش می‌کند او را به یک کارگزار مخرب متصل کند.

مهاجمان با بدست آوردن این رمزواره‌ها می‌توانند به حساب‌های کاربری افراد دست یابند و این موضوع بسیار نگران‌کننده است. Slack برای گزارش این آسیب‌پذیری ۳ هزار دلار پاداش پرداخت کرد و در مدت چند ساعت آن را وصله نمود. این محقق می‌گوید: «من تقریباً عصر روز جمعه، گزارش آسیب‌پذیری را برای Slack ارسال کردم. آن‌ها دقیقاً ۳۳ دقیقه پس از گزارش اولیه به من پاسخ دادند و آسیب‌پذیری در عرض ۵ ساعت وصله شد. این واقعاً شگفت‌انگیز است.»

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.