Slack’in Masaüstü Uygulamasında Kritik Açık Keşfedili

Günümüzün en tanınan iş odaklı bağlantı platformlarından birisi olan Slack’de, geçtiğimiz gün kıymetli bir güvenlik açığının keşfedildiği açıklandı. Kritik seviyede olduğu açıklanan güvenlik açığı, hacker’ların Slack’in masaüstü uygulamasını kullanan kullanıcıların bilgisayarlarına erişmelerinin önünü açıyordu.

Güvenlik açığı, Slack’in kendi güvenlik takımı tarafından değil; üçüncü parti güvenlik araştırmacıları tarafından keşfedilmişti. Uzaktan kod çalıştırmaya imkan sağlayan güvenlik açığı, rastgele bir hacker’ın bâtın belgelere, şifrelere, internet ağına ve daha birçok şeye erişmelerini sağlayacak derecede değerliydi.

Açığı keşfeden hacker’a sadece 1.750 dolar ödül verildi:

HackerOne’da yayınlanan güvelik açığı, Slack tarafından düzeltildi ve tehdit ortadan kalktı. Güvenlik açığını keşfeden ve paylaşan ‘oskars’ HackerOne kullanıcısı, ödül olarak 1.750 dolar kazandı. Keşfedilen güvenlik açığı şu ana kadar rastgele bir Slack kullanıcısını etkilemedi.

HackerOne’da yer alan bilgiye nazaran hacker’lar, saldırıyı sırf bir bireye yaparak saldırdıkları kullanıcının ağında yer alan öteki iş arkadaşlarına da erişebiliyordu. Slack’in yanılgıyı bildiren kullanıcıya verdiği mükafatı görenlerse yanlışın oranıyla ödül oranının birbirine uymadığı konusunda şikayetçiydi.

Bilgisayar güvenliğiyle ilgilenen birçok kullanıcı, 20 milyar dolar kıymete sahip Slack’in kullanıcıya sırf 1.750 dolar verdiğini belirterek Slack’e yakındı. Kullanıcılar, birebir araştırmacının tıpkı yanılgıyı özel bir şirkete bildirmesi durumunda o şirketin araştırmacıya on binlerce dolar vermiş olabileceğini söyledi.

Slack’in HackerOne’daki sayfasında yer alan bilgiye nazaran keşfedilen akının çeşidi olan ‘uzaktan kod çalıştırma’ akınlarının içinde bulunduğu ‘kritik’ kategorisi güncellendi. Güncellemeyle birlikte verilecek ödül 5.000 dolara kadar yükselmişti. Slack, son 90 gün içinde açık keşfeden kullanıcılara 36.375 dolar ödeme yaptı.