Slack修正會導致憑證曝險的系統漏洞，要求部分用戶重設密碼

協同平臺Slack上周四（8/4）公告，系統出現一項漏洞可導致用戶登入憑證曝光，已經對少數用戶重設密碼。

Slack這項漏洞發生在工作空間裏建立共用邀請連結的功能上，由於「程式異常」，讓Slack意外將密碼傳送給其他工作空間成員。但Slack表示，密碼經過雜湊處理，因此所有Slack用戶端都無法直接查看到密碼內容，而且除非長時間監控Slack伺服器的網路流量，也不會發現到這組密碼。

這漏洞是由一位外部研究人員發現，於7月17日通報Slack。

受到影響的用戶是4月17日到7月17日之間建立或撤銷共用邀請連結的用戶，Slack估計占總用戶的0.5%，並在8月4日對這些用戶發送通知。

Slack在接獲通報後已經修補根本問題，並調查可能的影響。該公司表示不認為有任何人會因此取得用戶純文字格式的密碼。不過Slack表示為安全起見，仍然為這些用戶重設密碼，他們必須設定新密碼才能再次登入。

使用者可在https://my.slack.com/account/logs檢視帳號的個人存取記錄或下載完整的 CSV 報告。Slack也建議用戶啟用雙因素驗證、使用的服務建立不重複的全新密碼，以及善用密碼管理工具，並確保電腦軟體和防毒軟體更新到最新版本保護帳號安全。