Vulnerabilidad de Slack permitía el entrada total a cuentas de beneficiario

Los servicios de mensajería, como cualquier otra confín de comunicación en internet, están en peligro escondido de ser atacados. Por tal motivo la importancia de erradicar cualquier vulnerabilidad que pueda ser explotada y ponga en peligro la seguridad de sus usuarios.

Investigadores de la firma Detectify (vía TNW) descubrieron un bug en la plataforma de transporte colaborativa, Slack, el cual permitía el entrada total a una cuenta de beneficiario robando su token por medio de una página web maliciosa.

Lo que habría ayudado a descubrir esta vulnerabilidad fue la detección de un dictamen en la lectura del navegador que permitía colgar las llamadas de los usuarios, lo que a su vez ayudó a descubrir otro error en el código que facilitaba la intercepción de mensajes.

La mencionada página web maliciosa debía diseñarse para recuperar el token del beneficiario reconectando al servidor del victimario, consiguiendo así lo suficiente para explotar la vulnerabilidad y obtener entrada total a la cuenta.

El investigador que descubrió este dictamen lo reportó a la muchedumbre de Slack, quienes respondieron rápidamente y erradicaron la vulnerabilidad en un periodo de casi nada cinco horas. Este final acertado terminó complementándose con una nadie despreciable retribución de USD$3.000 otorgada al investigador.

Sígannos y comenten en Facebook.




Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales