安全研究人員Evan Custodio在本周公布了一個存在於Slack上的安全漏洞,該漏洞將允許駭客接管大量的Slack帳號,不過,Custodio早在去年11月便透過HackerOne平台提報了該漏洞,Slack則在得知漏洞的24小時內完成修補,也頒發6,500美元的抓漏獎金予Custodio。
根據Custodio的說明,Slack平台上含有一個「HTTP 請求走私」(HTTP Request Smuggling)漏洞,將允許駭客針對鄰近的客戶請求,執行基於CL.TE的挾持行動,迫使受害者進入開放式重定向,把受害者及其Slack網域cookies轉移到駭客的協作客戶端,而當中即含有客戶的秘密期間cookie,將使得駭客得以接管任何Slack用戶的使用期間。
Custodio認為,這是一個嚴重的安全漏洞,將可曝露大多數的Slack用戶資料,駭客可建立多個機器人以展開持續性的攻擊,先是接管Slack用戶的使用期間,進而竊取用戶資料。