Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Von Apple bis zur Süddeutschen: Slack verrät interne Team-Struktur seiner Nutzer

Slack. (Screenshot: Slack)

Wer wissen will, welche Teams Unternehmen in Slack angelegt haben, kann das ganz ohne Anmeldung machen. Betroffen sind Unternehmen wie Amazon, Apple, eBay, Microsoft, Buzzfeed, Medium, Google oder die Süddeutsche Zeitung.

Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)
Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)

Slack und der Datenschutz: Völlig ohne Anmeldung die interne Team-Struktur von Unternehmen einsehen

Das webbasierte Kollaborations-Tool Slack wird in unzähligen Unternehmen verwendet. Was die bislang aber vermutlich nicht wussten, ist, dass sich jeder ohne Kontrollmöglichkeit eine Liste der dort festgelegten Teams anzeigen lassen kann. Über die Login-Seite des Dienstes muss dazu nur eine E-Mail-Adresse einer betroffenen Firma eingegeben werden. Die muss nicht notwendigerweise wirklich existieren: fdfdsdfgd@microsoft.com reicht beispielsweise völlig aus, um sich eine Liste der Microsoft-Teams anzeigen zu lassen.

Der indische Drupal-Entwickler Tanay Sai hat die Sicherheitslücke in Slack zuerst entdeckt und auf seinem Blog darüber berichtet. Nach unseren Recherchen nutzen unter anderem Amazon, Apple, eBay, Microsoft oder Google das Tool. Auch Publisher wie Buzzfeed oder die Süddeutsche Zeitung scheinen Slack im Einsatz oder zumindest testweise genutzt zu haben. Während die Auflistung der internen Team-Namen nicht notwendigerweise ein großes Problem für Nutzer des Dienstes darstellen muss, dürften sich die betroffenen Unternehmen kaum darüber freuen. Zumal sich so auch Rückschlüsse auf die internen Strukturen und bisweilen geheime Produktnamen ziehen lassen.

Slack: Hätte die Lücke erst dem Anbieter gemeldet werden sollen?

Auf Hacker News und Twitter diskutieren Nutzer derzeit vor allem, ob Tanay Sai die Sicherheitslücke nicht zunächst an Slack selbst hätte melden sollen. Auf Twitter begründete er seine Entscheidung dagegen damit, dass es sich im Kern nicht um eine Sicherheitslücke, sondern um eine Frage des „gesunden Menschenverstands“ handele. Auf eine Anfrage unsererseits hat Slack bisher nicht reagiert.

Wie seht ihr das? Hättet ihr den Bug gemeldet oder die Firma bloßgestellt, so wie es Sai getan hat?

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
kai.neahnung

So wie ich das verstehe wurde der Bug bereits am 14. August gemeldet aber vom Slack Team als "not a bug" abgetan. (siehe https://twitter.com/rootlabs/status/499723782244675584)

Von daher: Sie hatten ihre Chance!

Antworten
mathias.schreiber

Und mit den Infos fängt man jetzt genau was an?

Mir ist Amazon grade sympathischer geworden, weil es dort ein Team "Marketing Zombies" gibt.
Find ich schön ironisch.
Da arbeiten eben auch nur Menschen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.