Slack, bulut tabanlı bir ekip iş birliği uygulamasıdır. Kanadalı geliştirici Stewart Butterfield tarafından kurulmuştur. Yurt dışında yaygın olarak kullanılan Slack uygluamasıyla her projeye ayrı grup/kanal oluşturarak düzenli bir çalışma ortamı yaratabilirsiniz. Slack uygulamasının temellerini gruplar oluşturur.  Çalıştığınız sektöre göre; performans verileri, destek çekleri, bütçe onayları, kod incelemeleri, satış fırsatları, hata raporları, basın liderleri gibi işler tek sayfada akar ve bu sayfayı kanalda ekli olan herkes görebilir.

Başlıca iş tarafından düzenlenen yazışma aşaması olan Slack’in çalışma alanı kullanımında inanılmaz derecede güvenlik açığı bulundu.  Şu an itibariyle düzeltilen zayıflık, programcıların PC’lere ulaşmasına izin veriyordu.

 Günümüzün en yaygın iş odaklı  düzenlenmiş yazışma platformlarından biri olan Slack’te kritik bir güvenlik zafiyeti bulunduğu bildirildi.  Temel olarak telaffuz edilen zayıflık, programcıların Slack’in çalışma alanı uygulamasını kullanan istemcilerin bilgisayarlarına ulaşmasına izin verdi.

 Zayıflık, Slack’in kendi güvenlik grubu tarafından değil;  Yabancı güvenlik uzmanları tarafından bulundu.  Uzak kod yürütülmesine izin vermedeki zayıflık, herhangi bir programcının sınıflandırılmış belgelere, parolalara, web sistemine erişmesine izin verecek kadar kritikti ve bu sadece başlangıç. 

Açığı Keşfeden Hacker’a Yalnızca 1.750 Dolar Ödül Verildi:

HackerOne’da yayınlanan zayıflık Slack tarafından giderildi ve tehlike artık yoktu.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Hatayı ortaya çıkaran müşteriye Slack tarafından verilen ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğini mızmızlandı.  HackerOne’da yayınlanan güvenlik zafiyeti Slack tarafından giderildi ve tehlike ortadan kaldırıldı.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Slack’in hatayı duyuran müşteriye verdiği ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğinden şikayet ettiler.  PC güvenliğine meraklı çok sayıda müşteri Slack’e yakındı ve 20 milyar dolarlık Slack’in müşteriye sadece 1.750 dolar verdiğini ifade etti.  Müşteriler, benzer bir uzman özel sektöre ait bir işletmeye benzer bir hata duyurursa, bu organizasyonun analiste sayısız dolar vermiş olabileceğini söyledi.

 Slack’in HackerOne’daki sayfasındaki verilerde belirtildiği gibi, bulunan saldırı türü olan ‘uzak kod yürütme’ saldırılarını içeren ‘temel’ sınıflandırma yenilendi.  Güncelleme ile ödül 5.000 $ ‘a yükseldi.  Slack, son 90 günde zayıflığı bulan müşterilere 36,375 dolar ödedi.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir