17/12/19
Специалисты израильской ИБ-компании Polyrize обнаружили в приложении для общения и совместной работы Slack уязвимость, из-за которой отправленные по приватному каналу файлы могут быть видны всем пользователям в этом рабочем пространстве, даже «гостям».
По словам специалистов, если пользователь хотя бы один раз открыл доступ к файлу, он становится доступен для всех, даже если потом пользователь закрыл доступ. Сам владелец файла при этом ни о чем не догадывается.
Уязвимость связана с реализацией в Slack механизма обмена файлами. Приложение позволяет делать публикации в рабочем пространстве двумя способами. Первый – через общий канал (беседу), и в таком случае любой участник рабочего пространства может присоединиться к беседе и просматривать сообщения и файлы. Второй способ предполагает обмен сообщениями в закрытой беседе, стать участником которой можно только по приглашению.
Пересылаемые в приватной беседе файлы должны быть видны только ее участникам. Если пользователь покидает беседу, он больше не может просматривать файлы. Однако специалисты Polyrize обнаружили, что если участник закрытой беседы перешлет файл из нее в другую беседу, он сможет обойти эти ограничения.
«Мы понимаем важность безопасности файлов для пользователей Slack. Описанное поведение характерно только для двух типов файлов в Slack – Сниппетов и Постов (опции для обмена и совместной работы над контентом крупных форм). Большинство публикуемых в Slack файлов не относятся к этим типам. Когда вы обмениваетесь Сниппетами и Постами в приватных каналах или сообщениях, они видны только ограниченному кругу людей, которые могут находить их через поиск. Когда вы обмениваетесь Сниппетами и Постами в открытых каналах, найти их через поиск и увидеть может каждый в рабочем пространстве. Это предусмотренный функционал», – сообщили в пресс-службе Slack изданию The Register.
Разработчик приложения признал, что копка «Закрыть доступ» в пользовательском интерфейсе может сбить пользователя с толку. «Мы намерены откорректировать интерфейс, но модель безопасности обмена Сниппетами и Постами в Slack будет работать как раньше», – сообщили в пресс-службе Slack.
