Lorsqu’une personne sur Slack créait ou révoquait un lien d’invitation à un chat d’entreprise, un mot de passe haché de cette personne était partagé avec les autres membres de l’équipe. Un tel hachage ne montre pas le mot de passe lui-même, mais le transforme en une série de caractères. Ces types de codes peuvent également être déchiffrés, de sorte que le mot de passe puisse toujours être récupéré.
0,5 % des utilisateurs ont dû réinitialiser leur mot de passe à cause de la fuite. On ne sait pas exactement combien de clients sont impliqués. Slack n’a pas divulgué cela. Le service de chat compte désormais 169 000 clients payants dans le monde, mais ces clients ont plusieurs utilisateurs.
La fuite a été signalée le 17 juillet par un expert indépendant en cybersécurité. Le problème concernait les personnes qui avaient créé ou retiré des liens d’invitation entre le 17 avril et le 17 juillet. La fuite est maintenant réparée.
Les personnes qui ont reçu un e-mail de Slack devront réinitialiser leur mot de passe. Le service recommande également aux utilisateurs d’activer la vérification en deux étapes, de toujours utiliser des mots de passe uniques et de toujours maintenir les logiciels à jour.