Fallo de seguridad en Slack daba acceso a la cuenta y los mensajes

Frans Rosén, un investigador de la firma de seguridad Detectify, ha descubierto una vulnerabilidad en Slack que permitía que un atacante pudiera tener total acceso a la cuenta y los mensajes de los usuarios. La plataforma ha actuado con gran rapidez y ya ha parcheado el fallo de seguridad.

Slack se ha convertido en la app de mensajería instantánea más popular en el ámbito laboral, gracias a sus interesantes funcionalidades y su extraordinario potencial para la comunicación y gestión de los equipos de trabajo o para la automatización de tareas mediante el uso de bots, entre otras muchas ventajas.

No obstante, de acuerdo con el informe de Rosén, el cliente de chat de Slack se veía amenazado por un fallo de seguridad que una persona malintencionada podría explotar para robar el token de autenticación del usuario. 

El token es una cadena similar a una contraseña que los usuarios pueden generar para que los bots, scripts u otros programas se integren con su equipo de Slack. Por lo tanto, con este dato en su poder, cualquier persona tendría acceso total a la cuenta, equipos y mensajes de la víctima.

 

Según explica el investigador en su reporte, el robo del token se producía al abrir una página web maliciosa debido a un fallo en la versión para navegador de la plataforma de mensajería instantánea. Rosén lo descubrió porque primero detectó un bug que permite colgar las llamadas de otras personas. Cuando se puso a analizar el problema, se dio cuenta de que otro error en el código hacía posible interceptar los mensajes que se envían a la aplicación principal.

 

Investigando un poco más a fondo fue capaz de construir una página maliciosa diseñada específicamente para robar el token de los usuarios de Slack. Al acceder al sitio, el código de la web abría una llamada en Slack, lo que inicia una reconexión del WebSocket apuntando a un servidor pirata.

Afortunadamente, después de recibir el reporte, Slack ha parcheado el exploit con gran rapidez, y además ha recompensando a Rosén con 3.000 dólares por revelar el fallo de seguridad.

[Fuente: The Next Web]

Fundador y Director de LucernaTec.com, co fundador de El Vakeo.com y ElOriental.com.do, amante de la tecnología, el cine, la música, Netflix, y fotografía. Con experiencia en diseño gráfico, redes sociales, creación de contenidos.

Puedes encontrarme en:

https://www.instagram.com/eljuanmi05/

https://twitter.com/eljuanmi05

Juan Miguel Rivera

Fundador y Director de LucernaTec.com, co fundador de El Vakeo.com y ElOriental.com.do, amante de la tecnología, el cine, la música, Netflix, y fotografía. Con experiencia en diseño gráfico, redes sociales, creación de contenidos. Puedes encontrarme en: https://www.instagram.com/eljuanmi05/ https://twitter.com/eljuanmi05

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Creative Commons License
Fallo de seguridad en Slack daba acceso a la cuenta y los mensajes is licensed under a Creative Commons Attribution-Share Alike 4.0 License.