Software & Infrastruktur

Von Apple bis zur Süddeutschen: Slack verrät interne Team-Struktur seiner Nutzer

Slack. (Screenshot: Slack)

Wer wissen will, welche Teams Unternehmen in Slack angelegt haben, kann das ganz ohne Anmeldung machen. Betroffen sind Unternehmen wie Amazon, Apple, eBay, Microsoft, Buzzfeed, Medium, Google oder die Süddeutsche Zeitung.

Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)

Slack: Ohne Anmeldung könnt ihr die bestehenden Teams eines Unternehmens einsehen. (Screenshot: Slack)

Slack und der Datenschutz: Völlig ohne Anmeldung die interne Team-Struktur von Unternehmen einsehen

Das webbasierte Kollaborations-Tool Slack wird in unzähligen Unternehmen verwendet. Was die bislang aber vermutlich nicht wussten, ist, dass sich jeder ohne Kontrollmöglichkeit eine Liste der dort festgelegten Teams anzeigen lassen kann. Über die Login-Seite des Dienstes muss dazu nur eine E-Mail-Adresse einer betroffenen Firma eingegeben werden. Die muss nicht notwendigerweise wirklich existieren: fdfdsdfgd@microsoft.com reicht beispielsweise völlig aus, um sich eine Liste der Microsoft-Teams anzeigen zu lassen.

Der indische Drupal-Entwickler Tanay Sai hat die Sicherheitslücke in Slack zuerst entdeckt und auf seinem Blog darüber berichtet. Nach unseren Recherchen nutzen unter anderem Amazon, Apple, eBay, Microsoft oder Google das Tool. Auch Publisher wie Buzzfeed oder die Süddeutsche Zeitung scheinen Slack im Einsatz oder zumindest testweise genutzt zu haben. Während die Auflistung der internen Team-Namen nicht notwendigerweise ein großes Problem für Nutzer des Dienstes darstellen muss, dürften sich die betroffenen Unternehmen kaum darüber freuen. Zumal sich so auch Rückschlüsse auf die internen Strukturen und bisweilen geheime Produktnamen ziehen lassen.

Slack: Hätte die Lücke erst dem Anbieter gemeldet werden sollen?

Auf Hacker News und Twitter diskutieren Nutzer derzeit vor allem, ob Tanay Sai die Sicherheitslücke nicht zunächst an Slack selbst hätte melden sollen. Auf Twitter begründete er seine Entscheidung dagegen damit, dass es sich im Kern nicht um eine Sicherheitslücke, sondern um eine Frage des „gesunden Menschenverstands“ handele. Auf eine Anfrage unsererseits hat Slack bisher nicht reagiert.

Wie seht ihr das? Hättet ihr den Bug gemeldet oder die Firma bloßgestellt, so wie es Sai getan hat?

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
mathias.schreiber
mathias.schreiber

Und mit den Infos fängt man jetzt genau was an?

Mir ist Amazon grade sympathischer geworden, weil es dort ein Team „Marketing Zombies“ gibt.
Find ich schön ironisch.
Da arbeiten eben auch nur Menschen.

Antworten
kai.neahnung
kai.neahnung

So wie ich das verstehe wurde der Bug bereits am 14. August gemeldet aber vom Slack Team als „not a bug“ abgetan. (siehe https://twitter.com/rootlabs/status/499723782244675584)

Von daher: Sie hatten ihre Chance!

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.