Günümüzün en popüler iş odaklı iletişim platformlarından birisi olan Slack’de, geçtiğimiz gün önemli bir güvenlik açığının keşfedildiği açıklandı. Kritik düzeyde olduğu açıklanan güvenlik açığı, hacker’ların Slack’in masaüstü uygulamasını kullanan kullanıcıların bilgisayarlarına erişmelerinin önünü açıyordu.
Güvenlik açığı, Slack’in kendi güvenlik ekibi tarafından değil; üçüncü parti güvenlik araştırmacıları tarafından keşfedilmişti. Uzaktan kod çalıştırmaya olanak sağlayan güvenlik açığı, herhangi bir hacker’ın gizli dosyalara, şifrelere, internet ağına ve daha birçok şeye erişmelerini sağlayacak derecede önemliydi.
Açığı keşfeden hacker’a yalnızca 1.750 dolar ödül verildi:
HackerOne’da yayınlanan güvelik açığı, Slack tarafından düzeltildi ve tehdit ortadan kalktı. Güvenlik açığını keşfeden ve paylaşan ‘oskars’ HackerOne kullanıcısı, ödül olarak 1.750 dolar kazandı. Keşfedilen güvenlik açığı şu ana kadar herhangi bir Slack kullanıcısını etkilemedi.
HackerOne’da yer alan bilgiye göre hacker’lar, saldırıyı yalnızca bir kişiye yaparak saldırdıkları kullanıcının ağında yer alan diğer iş arkadaşlarına da erişebiliyordu. Slack’in hatayı bildiren kullanıcıya verdiği ödülü görenlerse hatanın oranıyla ödül oranının birbirine uymadığı konusunda şikayetçiydi.
Bilgisayar güvenliğiyle ilgilenen birçok kullanıcı, 20 milyar dolar değere sahip Slack’in kullanıcıya yalnızca 1.750 dolar verdiğini belirterek Slack’e yakındı. Kullanıcılar, aynı araştırmacının aynı hatayı özel bir şirkete bildirmesi durumunda o şirketin araştırmacıya on binlerce dolar vermiş olabileceğini söyledi.
Slack’in HackerOne’daki sayfasında yer alan bilgiye göre keşfedilen saldırının türü olan ‘uzaktan kod çalıştırma’ saldırılarının içinde bulunduğu ‘kritik’ kategorisi güncellendi. Güncellemeyle birlikte verilecek ödül 5.000 dolara kadar yükselmişti. Slack, son 90 gün içinde açık keşfeden kullanıcılara 36.375 dolar ödeme yaptı.