Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Уязвимость в Slack позволяет видеть изъятые из открытого доступа файлы

17/12/19

Slack-2Специалисты израильской ИБ-компании Polyrize обнаружили в приложении для общения и совместной работы Slack уязвимость, из-за которой отправленные по приватному каналу файлы могут быть видны всем пользователям в этом рабочем пространстве, даже «гостям».

По словам специалистов, если пользователь хотя бы один раз открыл доступ к файлу, он становится доступен для всех, даже если потом пользователь закрыл доступ. Сам владелец файла при этом ни о чем не догадывается.

Уязвимость связана с реализацией в Slack механизма обмена файлами. Приложение позволяет делать публикации в рабочем пространстве двумя способами. Первый – через общий канал (беседу), и в таком случае любой участник рабочего пространства может присоединиться к беседе и просматривать сообщения и файлы. Второй способ предполагает обмен сообщениями в закрытой беседе, стать участником которой можно только по приглашению.

Пересылаемые в приватной беседе файлы должны быть видны только ее участникам. Если пользователь покидает беседу, он больше не может просматривать файлы. Однако специалисты Polyrize обнаружили, что если участник закрытой беседы перешлет файл из нее в другую беседу, он сможет обойти эти ограничения.

«Мы понимаем важность безопасности файлов для пользователей Slack. Описанное поведение характерно только для двух типов файлов в Slack – Сниппетов и Постов (опции для обмена и совместной работы над контентом крупных форм). Большинство публикуемых в Slack файлов не относятся к этим типам. Когда вы обмениваетесь Сниппетами и Постами в приватных каналах или сообщениях, они видны только ограниченному кругу людей, которые могут находить их через поиск. Когда вы обмениваетесь Сниппетами и Постами в открытых каналах, найти их через поиск и увидеть может каждый в рабочем пространстве. Это предусмотренный функционал», – сообщили в пресс-службе Slack изданию The Register.

Разработчик приложения признал, что копка «Закрыть доступ» в пользовательском интерфейсе может сбить пользователя с толку. «Мы намерены откорректировать интерфейс, но модель безопасности обмена Сниппетами и Постами в Slack будет работать как раньше», – сообщили в пресс-службе Slack.

Темы:УгрозыSlack
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...