Une faille dans Slack offre aux pirates un accès complet à des comptes

. © .

Un chercheur en sécurité a découvert une brèche dans Slack, qui fait en sorte que des pirates puissent s’emparer d’un compte sur la simple base d’un nom d’utilisateur.

La brèche a entre-temps été comblée, après que le chercheur en sécurité David Vieira-Kurz l’ait signalée. Concrètement, il s’agissait d’une double faille qui permettait d’accéder à un panneau d’administration. De là, il était possible au moyen de métadonnées sur des utilisateurs de contrôler l’environnement Slack, ce qui permettait en fin de compte de réinitialiser des mots de passe de comptes Slack, une fois que l’on était en possession des noms d’utilisateur de ceux-ci. Le pirate pouvait ainsi remplacer un mot de passe, voire s’emparer d’un compte.

La double faille a finalement coûté 7.000 et 2.000 dollars à Slack. Sur son site web, Vieira-Kurz a posté l’histoire complète. Il y indique aussi qu’un problème de sécurité apparemment trivial peut avoir de sérieuses conséquences.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire