Slack a corrigé une vulnérabilité majeure dans son application de bureau

  • FrançaisFrançais



  • Dans le contexte: Slack a corrigé une vulnérabilité «critique» dans son application de bureau qui aurait pu constituer une menace importante pour les utilisateurs du service de messagerie. Un chercheur en sécurité a identifié le bogue, l’a posté via une plateforme de prime de bogue et a été récompensé pour ses efforts. Mais les membres de la communauté de la sécurité affirment que les frais payés par Slack n’étaient pas suffisants.

    À l’ère actuelle du travail à distance, de plus en plus de personnes s’appuient sur des outils de collaboration en équipe et Slack est l’un des meilleurs services de la catégorie. Une vulnérabilité de sécurité dans l’application de bureau du service, qui est maintenant corrigée, pourrait avoir causé des problèmes majeurs. Entre de mauvaises mains, l’exploit aurait permis l’exécution de code à distance, permettant à un pirate d’accéder aux mots de passe, à l’accès au réseau interne et aux fichiers.

    De plus, il était possible de rendre l’attaque «vermifuge», permettant de la transmettre d’un compte à un groupe entier d’utilisateurs, compromettant ainsi toute une équipe Slack. Il est clair qu’une énorme quantité d’informations sensibles aurait pu être capturée de manière malveillante à l’aide de l’exploit de sécurité.

    Cependant, la vulnérabilité n’a pas été identifiée par l’équipe de sécurité de Slack. Un chercheur indépendant en sécurité a notifié à Slack via prime de bogue plateforme HackerOne plus tôt cette année. Pour ses efforts, le chercheur a reçu des honoraires de 1 750 $. Cependant, comme Mashable explique, de nombreux membres de la communauté de la sécurité estiment que cela ne suffit pas.

    Un porte-parole de Slack a répondu à ces commentaires en expliquant: “Nous apprécions profondément les contributions des communautés de sécurité et de développeurs, et nous continuerons de revoir notre échelle de paiement pour nous assurer que nous reconnaissons leur travail et créons de la valeur pour nos clients.” Le porte-parole a ajouté qu’un correctif initial pour cet exploit avait été mis en œuvre en février.

    Slack semble maintenant offrir des paiements plus élevés pour des exploits importants comme celui-ci – une décision importante, car un chercheur moins noble aurait pu vendre cette vulnérabilité «critique» à un acheteur malveillant. Heureusement, ce n’était pas le cas cette fois.

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée.