今天的流行公司消息服务Slack今天解决了安全漏洞的报告,揭示了其高调客户的内部团队名称,包括Apple,Google,Twitter,Microsoft和Mozilla。根据Slack的说法,这不是一个安全缺陷,只有一个“功能”,公司可以手动打开和关闭。

为了响应今天提出的安全问题,松懈地承认了声明的监督,称它将澄清其语言“所以,对于团队名称以这种方式发现的团队名称和管理员来说很清楚。”Slack还表示已经“与我们的用户沟通,他们如何改变此设置或任何团队名称。”

这个“特征”是在八月推出的,并被遗产叫出“可用性之间的权衡和秘密”。

由于Slack的登机过程,上面的问题存在于困扰的登机过程中,这向内部群体介绍了进入公司电子邮件地址的任何人。例如,任何人都可以尝试在Slack.com上注册“[email protected]”,并查看可以揭示私营公司策略的团队名称。

这是关于此事的松懈声明,全部:

我们理解有担心试图登录Slack团队的人们能够看到与特定电子邮件域相关联的所有团队,即使用户未经身份验证。对此有很多困惑,我们想澄清。

查看与特定团队的域名或inpidual的电子邮件地址
相关的团队名称是一个设计粗糙的功能,
使我们的用户可以找到和访问团队。许多使用Slack的人通过启用电子邮件域的团队发现。这是团队所有者和管理员控制的设置。它允许任何人使用特定的电子邮件域来查看使该域的自签名进程的所有团队。大多数Slack用户在登录时看到这些屏幕。

要打破这一点:创建一个团队时,团队所有者可以选择使用特定电子邮件域的人(例如:【venyCompanyNameHere.com)查看和注册加入该团队。或者,团队所有者可以更加狭隘地设置偏好,以便人们只能通过邀请加入,这不会使该域名的每个人都能看到的团队名称。这些设置可以由团队所有者随时更改。

由于公司增加了越来越多的休闲团队,我们已经意识到这个签到的过程,旨在更快地使团队沟通更快,更容易,本身就会变得繁琐。我们一直在努力更新我们的登录过程来解决此问题,并为单点登录(SSO)和其他改进添加支持,以简化进程的登录。我们正在努力快速推动这些变化,这将以整体方式解决这个问题。

与此同时,我们正在澄清我们的语言关于此设置,因此对团队名称以这种方式可发现的团队所有者和管理员非常清楚,并与我们的用户通信它们如何更改此设置或任何团队名称。

在懈怠时,我们为自己倾听我们的用户而且尽可能快地为自己提供响应。我们还想花时间确保我们理解一个问题,所以我们可以正确地解决它。我们认真对待安全,并鼓励所有安全研究人员使用我们的负责任的披露政策,该政策是在HTTPS://slack.com/whatehat概述的。