Logo Computerhoy.com

Fallo de seguridad en Slack daba acceso a la cuenta y los mensajes

fallo seguridad slack
Un investigador de seguridad ha descubierto una vulnerabilidad en Slack que daba total acceso a un atacante a la cuenta y los mensajes de los usuarios. 

Frans Rosén, un investigador de la firma de seguridad Detectify, ha descubierto una vulnerabilidad en Slack que permitía que un atacante pudiera tener total acceso a la cuenta y los mensajes de los usuarios. La plataforma ha actuado con gran rapidez y ya ha parcheado el fallo de seguridad.

Slack se ha convertido en la app de mensajería instantánea más popular en el ámbito laboral, gracias a sus interesantes funcionalidades y su extraordinario potencial para la comunicación y gestión de los equipos de trabajo o para la automatización de tareas mediante el uso de bots, entre otras muchas ventajas.

No obstante, de acuerdo con el informe de Rosén, el cliente de chat de Slack se veía amenazado por un fallo de seguridad que una persona malintencionada podría explotar para robar el token de autenticación del usuario. 

El token es una cadena similar a una contraseña que los usuarios pueden generar para que los bots, scripts u otros programas se integren con su equipo de Slack. Por lo tanto, con este dato en su poder, cualquier persona tendría acceso total a la cuenta, equipos y mensajes de la víctima.

Protege tu ordenador con los antivirus más vendidos de Amazon España

Según explica el investigador en su reporte, el robo del token se producía al abrir una página web maliciosa debido a un fallo en la versión para navegador de la plataforma de mensajería instantánea. Rosén lo descubrió porque primero detectó un bug que permite colgar las llamadas de otras personas. Cuando se puso a analizar el problema, se dio cuenta de que otro error en el código hacía posible interceptar los mensajes que se envían a la aplicación principal.

Ya puedes hacer videollamadas grupales en Slack

Investigando un poco más a fondo fue capaz de construir una página maliciosa diseñada específicamente para robar el token de los usuarios de Slack. Al acceder al sitio, el código de la web abría una llamada en Slack, lo que inicia una reconexión del WebSocket apuntando a un servidor pirata. 

Afortunadamente, después de recibir el reporte, Slack ha parcheado el exploit con gran rapidez, y además ha recompensando a Rosén con 3.000 dólares por revelar el fallo de seguridad.

[Fuente: The Next Web]

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Computerhoy.