Slack Technologies Inc.已在其桌面应用程序中修复了关键漏洞,但向发现该漏洞的研究人员支付的赔偿金遭到了安全界的批评。
该漏洞是由Evolution Gaming的安全工程师Oskars Vegeris在1月份发现的,当时与Slack私下共享。该漏洞使攻击者可以制作HTML注入,安全控制旁路和远程执行代码Javascript有效载荷,这些攻击本可以使攻击者劫持用户的帐户。
发现可利用的一项功能是,files.slack.com未被过滤,能够插入HTML文件上传来直接存储RCE有效负载,而无需攻击者使用自己的主机。
“由于它是一个受信任的域,因此它可能包含带有伪造的Slack登录页面或其他任意内容的网络钓鱼页面,这可能会影响Slack的安全性和声誉,” Vegeris当时解释道。“据我所知,根本没有安全标头,也没有任何限制,我敢肯定,只要有足够的时间,就能证明其他一些安全影响。”
攻击将使攻击者可以在Slack内访问私有文件,私有密钥,密码,机密,互联网访问,私有对话等。更糟糕的是,一旦进入大门,攻击者就可以使有效载荷变得“可蠕虫”,并在单击后将代码重新发布到所有用户工作区。
尽管如此,支付给Vergeris的款项仍在安全社区内部受到批评。
今天 ,Bleeping Computer公司 将这笔1,750美元的支出形容为小气。它指出,在Twitter上的普遍共识是,如果Slack是一家市值200亿美元的公司,拥有大公司使用的消息传递应用程序,那么如果将这种漏洞利用在黑暗的网络上出售(互联网可访问的阴暗部分),它将面临严重的后果与特殊软件。此外,批评者指出,Vergeris在暗网上出售这些细节也将获得可观的收益。
更糟糕的是,Slack在两个月前的一篇文章中推广了其“应用程序沙箱”功能,却没有透露该漏洞或称赞Vegeris。
Slack在Hacker One披露页面上向Vegeris表示歉意。“我叫Larkin Ryder,我目前在Slack担任临时首席安全官。 @brandenjordan 使我意识到了这一失误,因此我谨在此致以诚挚的歉意,对任何对您的工作表示赞赏的疏忽。非常感谢您为使Slack更安全而投入的时间和精力。”
尽管给予Vegeris荣誉是值得欢迎的,但仍然存在一些问题,那就是Slack向安全研究人员支付的看似低的问题,他们花费数小时来发现漏洞,如果被利用,可能会使公司付出数百万美元的代价。