Software & Infrastruktur

Von Apple bis zur Süddeutschen: Slack verrät interne Team-Struktur seiner Nutzer

Slack. (Screenshot: Slack)

Wer wissen will, welche Teams Unternehmen in Slack angelegt haben, kann das ganz ohne Anmeldung machen. Betroffen sind Unternehmen wie Amazon, Apple, eBay, Microsoft, Buzzfeed, Medium, Google oder die Süddeutsche Zeitung.

Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)
Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)

Slack und der Datenschutz: Völlig ohne Anmeldung die interne Team-Struktur von Unternehmen einsehen

Das webbasierte Kollaborations-Tool Slack wird in unzähligen Unternehmen verwendet. Was die bislang aber vermutlich nicht wussten, ist, dass sich jeder ohne Kontrollmöglichkeit eine Liste der dort festgelegten Teams anzeigen lassen kann. Über die Login-Seite des Dienstes muss dazu nur eine E-Mail-Adresse einer betroffenen Firma eingegeben werden. Die muss nicht notwendigerweise wirklich existieren: fdfdsdfgd@microsoft.com reicht beispielsweise völlig aus, um sich eine Liste der Microsoft-Teams anzeigen zu lassen.

Der indische Drupal-Entwickler Tanay Sai hat die Sicherheitslücke in Slack zuerst entdeckt und auf seinem Blog darüber berichtet. Nach unseren Recherchen nutzen unter anderem Amazon, Apple, eBay, Microsoft oder Google das Tool. Auch Publisher wie Buzzfeed oder die Süddeutsche Zeitung scheinen Slack im Einsatz oder zumindest testweise genutzt zu haben. Während die Auflistung der internen Team-Namen nicht notwendigerweise ein großes Problem für Nutzer des Dienstes darstellen muss, dürften sich die betroffenen Unternehmen kaum darüber freuen. Zumal sich so auch Rückschlüsse auf die internen Strukturen und bisweilen geheime Produktnamen ziehen lassen.

Slack: Hätte die Lücke erst dem Anbieter gemeldet werden sollen?

Auf Hacker News und Twitter diskutieren Nutzer derzeit vor allem, ob Tanay Sai die Sicherheitslücke nicht zunächst an Slack selbst hätte melden sollen. Auf Twitter begründete er seine Entscheidung dagegen damit, dass es sich im Kern nicht um eine Sicherheitslücke, sondern um eine Frage des „gesunden Menschenverstands“ handele. Auf eine Anfrage unsererseits hat Slack bisher nicht reagiert.

Wie seht ihr das? Hättet ihr den Bug gemeldet oder die Firma bloßgestellt, so wie es Sai getan hat?

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
kai.neahnung

So wie ich das verstehe wurde der Bug bereits am 14. August gemeldet aber vom Slack Team als "not a bug" abgetan. (siehe https://twitter.com/rootlabs/status/499723782244675584)

Von daher: Sie hatten ihre Chance!

Antworten
mathias.schreiber

Und mit den Infos fängt man jetzt genau was an?

Mir ist Amazon grade sympathischer geworden, weil es dort ein Team "Marketing Zombies" gibt.
Find ich schön ironisch.
Da arbeiten eben auch nur Menschen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung