Un investigador de seguridad – “sombrero blanco” – descubrió el bug que ha podido generar una brecha catastrófica en Slack… cosa que no pasó.
CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e
Por desgracia, no es una noticia que podamos dar todos los días: una brecha de seguridad… que nunca ha sido explotada.
Así que, oficialmente, Slack puede declararse una aplicación muy afortunada, especialmente ahora que un sombrero blanco lo ha salvado de las graves consecuencias que suelen tener los fallos para cualquier empresa. Basta mirar a Yahoo, por ejemplo.
Según el reporte del cazarrecompensas Frans Rosen, el fallo en Slack era suficiente para que un investigador de seguridad diseñara un hack que pudiera engañar a los usuarios para que entreguen el acceso a sus cuentas.
“Slack perdió un paso importante al usar una tecnología llamada postMessage. Debido a eso, es posible robar tokens de acceso a cuentas de usuario debido a una falla en la forma en que la aplicación comunica los datos en un navegador de Internet”, destacó Rosen en un correo que dirigió a la compañía la semana pasada.
Salvado por la campana
PostMessage es un tipo de comando que puede dejar las ventanas del navegador separadas una de la otra. En Slack, se utiliza siempre que la aplicación de chat abre una nueva ventana para habilitar una llamada de voz.
Idealmente, una aplicación que utiliza postMessage validará el origen de todos los datos intercambiados entre ventanas separadas, para mantener el proceso seguro. Sin embargo, Slack no estaba haciendo esto, según Rosen.
Como sea, Slack ha ha puesto su atención en este problema. Después de una investigación exhaustiva, la compañía ha encontrado que el defecto nunca fue explotado, de acuerdo con una publicación en HackerOne, una plataforma de recompensas de bugs.
La empresa ha acogido las sugerencias de los investigadores, pagado la recompensa y le ha dado garantías a sus muchos (millones) de usuarios de que, pese a la vulnerabilidad, están completamente fuera de riesgo.
Un final feliz en la historia de la ciberseguridad. Aunque sea para variar.