Slack schliesst Lücke, die vollen Zugriff auf User-Accounts gewährt hat

Frans Rosén, ein Forscher bei der Security-Firma Detectify, hat bereits am 28. Februar auf eine kritische Lücke im Messaging-Dienst Slack hingewiesen . Die Schwachstelle erlaubte es potentiellen Angreifern, sich in fremde Slack-Accounts einzuloggen und Kontrolle darüber auszuüben – mit vollem Zugriff auf Chat-History und geteilte Dateien. Laut 'The Wired' hat Slack erklärt, dass man den Exploitnach Kenntnisnahme des Problems innerhalb von fünf Stunden geschlossen habe. Ausserdem habe man die Protokolldateien durchgesehen, um festzustellen, ob die Lücke bereits genutzt worden sei. Glücklicherweise sei man auf keine entsprechenden Hinweise gestossen."Genau wegen diesem Bug, investieren wir in unser öffentliches Bug-Bounty-Programm", sagte ein Slack-Sprecher laut 'The Wired'. "Die zusätzliche Brainpower der Entwickler- und Security-Gemeinschaften ist von unschätzbarem Wert, um den Service für alle zu sichern." Frans Rosén erhielt für die Entdeckung 3000 Dollar aus Slacks Bug-Bounty-Fonds. (ts)