O Slack corrigiu um bug que poderia permitir que hackers interceptassem e redirecionassem os downloads na versão para desktop do Windows do aplicativo de mensagens. No entanto, parece que nenhum usuário do Slack foi afetado antes que o serviço consertasse a vulnerabilidade.
Um pesquisador da empresa de segurança cibernética Tenable descobriu que hackers poderiam ter colocado um link malicioso em um canal do Slack que, quando clicado, permitiria que eles redirecionassem os downloads de um usuário para um servidor de arquivos pertencente ao invasor. A partir daí, o invasor obviamente poderia ter roubado o documento. Como muitos locais de trabalho usam o Slack no lugar do email, parece inevitável que os arquivos com dados confidenciais mudem de mãos através do serviço.
Os atacantes poderiam até ter “inserido códigos maliciosos em um documento para que, quando abertos pela vítima após o download clicando sobre eles no Slack, sua máquina teria sido infectada”, afirmou David Wells, pesquisador da Tenable. “As opções daqui são infinitas.”
Como sugere Wells, um hacker pode ter colocado um link malicioso em um canal do Slack usando feeds RSS, que os usuários do Slack podem adicionar aos canais. Os hackers também poderiam mascarar links maliciosos para que eles parecessem URLs para sites legítimos.
Tenable relatou o bug para o Slack e foi corrigido na versão 3.4.0 do aplicativo do Windows. “Slack investigou e não encontrou nenhuma indicação de que esta vulnerabilidade foi utilizada, nem relata que seus usuários foram impactados”, disse Slack ao Gizmodo. “Como sempre, os usuários são encorajados a atualizar seus aplicativos e clientes para a última versão disponível.”
Este artigo é uma tradução de: https://www.engadget.com/2019/05/17/slack-bug-hackers-links-downloads-documents/
