Slack, ett populärt samarbetsverktyg på nätet, har skyndsamt fått åtgärda en allvarlig säkerhetsbugg som hade kunnat leda till att användare hade fått konton kapade. Enligt Slack är felet åtgärdat och ingen användare ska ha drabbats.
Buggen hittades av Frans Rosén och svagheten fanns i Slacks hantering av olika fönster och kommunikationen mellan olika öppna fönster. Exploaterade buggen så kunde ett falskt fönster öppnas och inloggingsnycklar och konton kunde stjälas.
TLDR; I was able to create a malicious page that would reconnect your Slack WebSocket to my own WebSocket to steal your private Slack token. Slack fixed the bug in 5 hours (on a Friday) and paid me $3,000 for it.
Recently a bug I found in Slack was published on HackerOne and I wanted to explain it, and the method I used to discover it.
Fem timmar
Det tog Slack fem timmar att åtgärda säkerhetsmissen och Frans Rosén fick 3000 dollar som tack för jobbet med att identifiera och testa buggen.
0 kommentarer