Bug in Slack liet kwaadwillenden gebruikersaccounts overnemen

Slack, een populair medium voor het delen van informatie binnen organisaties en bedrijven, kampte met een bug waardoor gebruikersaccounts overgenomen konden worden. Kwaadwillenden konden zo toegang krijgen tot alle kanalen waar het account lid van was.

Frans Rosén, beveiligingsonderzoeker bij het bedrijf Detectify, ontdekte de bug vorige maand en stelde Slack ervan op de hoogte. Inmiddels is de kwetsbaarheid gerepareerd en zijn de eigenschappen ervan publiekelijk gemaakt. Uit het rapport blijkt dat kwaadwillenden hiermee andermans account konden overnemen en zo toegang konden krijgen tot alle content waar die persoon voor gemachtigd is.

De kwetsbaarheid zat in de manier waarop verschillende systemen van Slack met elkaar communiceren, en dan met name in de implementatie van PostMessage, aldus de ontdekker van de bug. Rosén maakte een exploit door een webpagina op te zetten waarmee authenticatietokens van Slack-gebruikers ontfutseld konden worden. Met deze xoxs-tokens konden kwaadwillenden vervolgens doen alsof zij de eigenaar van dat account waren. Omdat Slack veel gebruikt wordt voor het delen van informatie binnen organisaties en bedrijven, hadden hierdoor mogelijk bedrijfsgeheimen gestolen kunnen worden.

Een woordvoerder van Slack liet weten aan Wired dat het de bug na ontvangst van het rapport van Rosén binnen vijf uur had gerepareerd. Uit de logs is niet gebleken dat er misbruik is gemaakt van de kwetsbaarheid.

IT-banen

Reacties (24)

eXtink

@mikesmit • 5 maart 2017 10:45

Als er binnen 90 dagen geen patch is, dan maken ze inderdaad hun vindingen puliekelijk (bron: https://en.wikipedia.org/wiki/Project_Zero_(Google)).

Verwijderd @eXtink • 5 maart 2017 10:52

Wat op zich nog steeds discutabel is. Als ik weet dat jouw sloten niet zo goed meer zijn, en jij doet er niets aan zal iedereen het toch uitermate vreemd vinden als ik in een krantenadvertentie ga zeggen dat jouw sloten gammel zijn....

Croga

@Verwijderd • 5 maart 2017 10:54

Dat is dan ook een hele verkeerde analogie.....
Als ik weet dat Axa sloten gammel zijn en ik maak dat in een artikel bekend zullen de klante van Axa daar heel erg blij mee zijn..... Axa mischien niet zo maar wat is er belangrijker?

eXtink

@Croga • 5 maart 2017 10:59

Om eerlijk te zijn, zijn beide analogieën verkeerd. Het zit namelijk zo:

Als ik een fout in Axa sloten vind, dit meld ik aan Axa en na 90 dagen is Axa nog niet met een oplossing gekomen, dan meld ik het aan de mens dat Axa sloten gammel zijn.

Het is nog steeds een discutabel project, maar gezien de vele lekken die de laatste tijd misbruikt worden, is het wel eens goed dat veel fabrikanten achter hun hielen aangezeten worden.

StefanJanssen @Croga • 5 maart 2017 12:39

Ik zou er zelf niet blij van worden hoor, ik kan namelijk niet zo 1 2 3 ergens anders een ander slot vandaan halen en zal dus een tijdje met een slot rondrijden waarvan iedereen weet dat je het met een klein tikje op de zijkant los kan krijgen. In dat geval ben ik veel kwetsbaarder dan dat ik hiervoor was.

Verwijderd @StefanJanssen • 5 maart 2017 16:10

Dit zijn dus ook typisch situaties waarin geen 'goed' is maar alleen maar variaties op 'slecht'.
In de software wereld is zo'n beetje onderling afgesproken om de fabrikant 90 dagen te geven de boel te fixen en dan de klanten in te lichten. Perfect is het niet, maar dat is geen enkel alternatief.
Je hebt nl. geen idee hoeveel kwaadwillenden op de hoogte zijn van het probleem met het slot.
Is niemand dat, dan zou niet vertellen het meest ideale zijn. Weten alle fietsendieven het dan is 90 dagen rijkelijk lang.

StefanJanssen @Verwijderd • 5 maart 2017 16:32

In mijn ogen hangt het af van het probleem. Een bug in de kernel is wel even iets moeilijker op te lossen dan een bug in een bv paint. Mochten ze die fixen moet het eerst weer uitgebreid getest worden wat mocht dat niet goed gedaan worden grotere problemen kan geven dan de eerste bug. Een bug binnen paint zal minder groot zijn en indien dat niet het geval is kun je dat altijd nog uitschakelen.

Verwijderd @StefanJanssen • 5 maart 2017 16:43

Toch is 90 maanden best lang, en om te voorkomen dat er wellus/nietus spelletjes komen tussen de onderzoekers en de fabrikant is er nu een redelijk gemiddelde gekozen.
Wat jij wilt zal in de praktijk niet werken: fabrikanten eisen nu al te vaak meer oplostijd dan redelijk is.

Het is geen perfecte wereld en er is hier geen perfecte oplossing.

Zer0 @mikesmit • 5 maart 2017 10:41

Dat doet Google ook, als er binnen een redelijke termijn gereageerd wordt. Alleen als een bug lang ongepatched blijft maakt Google hem pas openbaar.

wizekid @Zer0 • 5 maart 2017 10:47

In veel gevallen is dat al na 90 dagen, wat voor sommige van die bugs in bijv. kritieke componenten van een kernel veel te weinig is.

Soldaatje @wizekid • 5 maart 2017 10:51

Gebruikers hebben ook recht om te weten als er een ernstige bug in hun systeem zit, dan kunnen ze daar rekening mee houden.

CH4OS @Soldaatje • 5 maart 2017 11:51

Dat is ook precies de reden waarom Google een termijn aanhoudt van 90 dagen, zoals uitgelegd in de link van de reactie waar je op reageert.

mmjjb @CH4OS • 5 maart 2017 13:11

Nee, het recht om te weten dat er een ernstige bug is, is niet het zelfde als alle details op straat gooien, inclusief hoe de bug misbruikt kan worden!

Dat is namelijk wat google doet, ze hadden ook kunnen zeggen, "Er zit een bug in en Microsoft heeft het nog niet opgelost" ipv "hier heb je alle details om er een virus voor te maken"

CH4OS @mmjjb • 5 maart 2017 13:41

Natuurlijk heeft de tactiek van Google twee kanten. Jij schetst de ene kant. De andere kant is, dat Google bedrijven hiermee onder druk wil zetten om beveiliging voor de verandering eens hoog op de (development) agenda te gaan zetten. Je wilt niet weten hoeveel bedrijven nog best laconiek zijn als het gaat om beveiliging. Alsof ze nog niet beseffen dat daarmee ook bedrijven kunnen omvallen, omdat het vertrouwen dan helemaal weg is. Mooi voorbeeld daarvan is Diginotar. En zoals altijd met beveiliging; die is zo sterk als de zwakste schakel in het geheel, maar dat kwartje lijkt nog niet overal te vallen, helaas.

Het is (imo) mede dankzij Chrome dat langzaamaan HTTPS op webpagina's wordt geforceerd. Ik hoop dan ook heel erg, dat uiteindelijk HTTP alleen wordt toegestaan voor lokale (LAN) verbindingen. In HTTP/2 wordt versleuteling zelfs benodigd door de browsers, wat naar mijn idee ook een goede vooruitgang is.

Door dingen te forceren, kun je dus ook een betere beveiliging afdwingen en dat is voor de eindgebruiker alleen maar beter. Het is daarom ook belangrijk, dat anderen dat ook doen.

Adobe's Flash is dan wel een gatenkaas, maar Adobe is bijvoorbeeld wél snel met het uitgeven van een update die de gevonden beveiligingsproblemen oplost. Waarom zou een bedrijf als Microsoft (wat toch ook voldoende developers in dienst heeft zou je zeggen) dat dan ook niet kunnen? Microsoft is groot zat om snel een dergelijke patch óf work-around uit te geven. Negentig dagen is echt ruim daarvoor, zeker als je eerst met een work-around komt, zodat in elk geval de brand voorlopig geblust is, dan heb je daarna meer tijd om de brandhaard aan te pakken en het definitief op te lossen, dunkt me.

[Reactie gewijzigd door CH4OS op 23 juli 2024 12:47]

mikesmit @CH4OS • 5 maart 2017 14:31

Microsoft is gevult met vele capabele programmeurs. Soms zijn dingen niet zo makkelijk op te lossen bij iets zo complex als een OS. Vergeet ook niet dat het in de beste interesse is van Microsoft zelf om al die bugs op te lossen en dat ze daar wel degelijk mee bezig zijn. Daarom vind ik een beetje dat Google misbruik maakt van hun positie wanneer er een bug ontdekt is. Want openbaar maken hoe je actief een bug kan misbruiken is gewoon aanzet tot criminaliteit

CH4OS @mikesmit • 5 maart 2017 14:34

Ik snap dat het best complex kan zijn om op te lossen, maar binnen 90 dagen nadat Google Project Zero iets gevonden heeft, moet het echt wel mogelijk zijn om een work-around te vinden, zodat de klanten in elk geval voor nu geholpen zijn en niet zo gauw last kunnen krijgen van een hack of virus bijvoorbeeld.

En ja, het is dan ook voor criminaliteit interessant, maar op deze manier probeert Google gewoon bedrijven onder druk te zetten, zo simpel is het. Dan kun je beter hebben dat een bedrijf als Google met haar Project Zero een dergelijke bug vindt, dan dat een crimineel dat doet, de bug niet meldt en vervolgens gaat zitten uitbuiten tot in den treure.

[Reactie gewijzigd door CH4OS op 23 juli 2024 12:47]

Zer0 @mikesmit • 5 maart 2017 22:06

Microsoft is gevult met vele capabele programmeurs

Ze hebben ongeveer 43.000 engineers in dienst, wat betekent dat ze in die 90 dagen die Google aanhoudt (90/7*5*8*43000) 22 miljoen manuren in het fixen van de bug kan steken.
Juist daarom zou een bedrijf als MS een kritieke bug in 90 dagen op moeten kunnen lossen.

Zer0 @mmjjb • 5 maart 2017 21:59

En hoe moet je staven of wat (in het geval van jouw voorbeeld) Google meld ook de waarheid is? En of de betreffende bug ook voor jou relevant is?
Daar heb je meer informatie voor nodig dan alleen een "er is een bug gevonden"

Zer0 @wizekid • 5 maart 2017 11:46

Juist bij kritieke componenten is het belangrijk dat er snel een patch komt, of dat het risico bekent wordt bij gebruikers.

SilentLucidity @mikesmit • 5 maart 2017 14:18

Verschil is wel dat, aldus slack, de kwetsbaarheid binnen 5 uur was opgelost in plaats van 90 dagen.

stresstak @SilentLucidity • 5 maart 2017 15:00

Vijf uur, vijf dagen, vijf weken. Het maakt niet uit, als het maar binnen 90 dagen is.
Anders wordt het openbaar gemaakt.

SilentLucidity @stresstak • 5 maart 2017 16:11

Ja en daarom was ik, net als jij, tegen zijn standpunt

Van der Berg 5 maart 2017 18:12

Wat erg als dat je overkomt en iedereen toegang heeft tot iemands account en is snel weer gerepareerd!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (24)

Sorteer op:

Weergave: