Investigadores de seguridad descubrieron cómo conseguir tokens de Slack para interceptar las cuentas.
Los servicios de mensajería, como cualquier otra línea de comunicación en internet, están en riesgo latente de ser atacados. Por tal motivo la importancia de erradicar cualquier vulnerabilidad que pueda ser explotada y ponga en riesgo la seguridad de sus usuarios.
Investigadores de la firma Detectify (vía TNW) descubrieron un bug en la plataforma de mensajería colaborativa, Slack, el cual permitía el acceso total a una cuenta de usuario robando su token por medio de una página web maliciosa.
Lo que habría ayudado a descubrir esta vulnerabilidad fue la detección de un fallo en la versión del navegador que permitía colgar las llamadas de los usuarios, lo que a su vez ayudó a descubrir otro error en el código que facilitaba la intercepción de mensajes.
La mencionada página web maliciosa debía diseñarse para recuperar el token del usuario reconectando al servidor del victimario, consiguiendo así lo suficiente para explotar la vulnerabilidad y obtener acceso total a la cuenta.
El investigador que descubrió este fallo lo reportó a la gente de Slack, quienes respondieron rápidamente y erradicaron la vulnerabilidad en un periodo de apenas cinco horas. Este final feliz terminó complementándose con una nada despreciable recompensa de USD$3.000 otorgada al investigador.
https://www.fayerwayer.com/2017/03/vulnerabilidad-de-slack-permitia-el-acceso-total-a-cuentas-de-usuario/