Slack gehört zu den beliebtesten Kommunikationstools – das gilt insbesondere für remote arbeitende Firmen. Jetzt hat der Messenger in einer E-Mail einen Fehler eingestanden. Die Slack-Sicherheitslücke hat dazu geführt, dass Unbefugte geschlossene Chats lesen konnten.
Beim beliebten Office-Messenger Slack ist es zu einer Sicherheitslücke gekommen, die über mehrere Monate unbemerkt geblieben ist.
Das geht aus einer offiziellen Mail des Unternehmens vor, die BASIC thinking vorliegt.
Slack-Sicherheitslücke: Was ist passiert?
Wer auf Slack neue User zu einem bestehenden, geschlossenen Channel einlädt, kann zwischen zwei Optionen wählen:
- Die einladende Person archiviert den existierenden Channel und erstellt einen neuen, auf den dann alle alten und neuen Mitglieder zugreifen können. Auf diese Art können neue User keine alten Nachrichten und Dokumente sehen.
- Die einladende Person fügt den neuen User zum bestehenden Channel hinzu. In diesem Fall kann das neue Mitglied alle alten Nachrichten und Dokumente einsehen.
Bei eben jenem Einladungsprozess ist es bei Benutzer:innen, die über den iOS-Client zu einem eigentlich archivierten Slack-Channel hinzugefügt worden sind, zu einem Software-Fehler gekommen.
Dieser hat zur Folge, dass alle neuen User trotz der getroffenen Einstellungen die alten Nachrichten, Dateien und Dokumente des geschlossenen Chats sehen konnten.
Slack-Sicherheitslücke: Wer ist betroffen?
Die Slack-Sicherheitslücke trat in allen Versionen des iOS-Client zwischen dem 10. Dezember 2020 und dem 10. Juni 2021 auf. Neue User, die in diesem Zeitraum zu bestehenden geschlossenen Chats hinzugefügt worden sind, hatten laut Slack teilweise Einblicke in die eigentlich verborgenen Dokumente.
In der entsprechenden Info-Mail erklärt Slack, dass es am 2. Juni 2021 über die Sicherheitslücke informiert worden ist. Durch ein Update des iOS-Clients auf die Version 21.06.11 ist das Problem seit dem 7. Juni 2021 behoben worden. Die entsprechende E-Mail ging jedoch erst Anfang Juli 2021 raus.
Was kann ich machen, wenn ich von der Slack-Sicherheitslücke betroffen bin?
Der Büro-Messenger rät in seiner Mail allen betroffenen Unternehmen und den zuständigen Administrator:innen dazu, dass alle iOS-User die Anwendung aktualisieren sollen. Solange dies nicht geschieht, ist es nicht möglich, neue User zu geschlossenen Channels hinzuzufügen.
Ebenso informiert Slack darüber, dass die betroffenen User aus den entsprechenden Kanälen entfernt worden sind. Spätestens jetzt können sie also nicht mehr auf die eigentlich geheimen Chats und Dateien zugreifen.
Auch interessant:
