Home CORPORATE Transformação Digital Falha no Slack dá prêmio de US$ 3 mil a descobridor

Falha no Slack dá prêmio de US$ 3 mil a descobridor



A ferramenta on line de colaboração e comunicação Slack teve consertada uma falha grave que dá acesso a dados pessoais de usuários e pode deixar que o invasor veja as mensagens trocadas. O bug foi descoberto pelo especialista em computação Frans Rosén, que criou um exploit de prova de conceito que roubava tokens de autenticação de utilizadores e conseguia abrir caminho para acesso total a contas e textos do bate-papo.

O Slack é um aplicativo muito usado por empresas para proporcionar a colaboração, gestão de projetos e comunicação on line.

A prova de conceito usada enviava o utilizador da ferramenta para uma página maliciosa que obrigava uma reconexão com o servidor do Slack. Nesse procedimento, o token era capturado e utilizado para o invasor fazer login no serviço. Rosén descreve, em um artigo, como realizou as ações e os acessos obtidos. No texto, há todos os detalhes e imagens de tela de como a vulnerabilidade foi explorada. Há ainda um vídeo com todas as ações sendo executadas.



O desenvolvedor explicou que encontrou o bug depois de perceber que podia manipular certas funções de código Slack, como controlar notificações do navegador e mudar para outros bate-papos. Rosén também encontrou uma série de pequenas falhas nas funcionalidade da ferramenta, permitindo-lhe realizar chamadas e interceptar mensagens.

Prêmio
A empresa dona do Slack corrigiu o bug apenas cinco horas depois de ele ter sido enviado por Rosén. O especialista que descobriu a falha ganhou US$ 3 mil de prêmio do programa de caça-bugs (bounty) da empresa. É comum que companhias tenham esse tipo de incentivo para aprimoramento de seus produtos.

De acordo com um comunicado oficial da Slack, publicado no fórum conjunto de empresas para descoberta de vulnerabilidades, o HackerOne, a falha descoberta “nunca foi explorada”.

Acesse os outros sites da VideoPress

Portal Vida Moderna – www.vidamoderna.com.br

Radar Nacional – www.radarnacional.com.br