Công cụ Slack này bị rò rỉ dữ liệu người dùng bí mật

Các ứng dụng truyền thông cho mục đích sử dụng cá nhân không thể được đối xử giống như những ứng dụng bạn sẽ tìm thấy trong môi trường công ty và ngay cả các công ty tạo ra các ứng dụng trò chuyện tốt nhất có các sản phẩm cấp độ không gian làm việc. Slack là một ứng dụng nhắn tin như vậy và là một công cụ phổ biến cho các tập đoàn thuộc mọi quy mô. Bên cạnh trò chuyện, giọng nói và video, nó cũng giúp tăng năng suất với các phần mở rộng kiểu trình duyệt, nhưng các phần mở rộng này đôi khi có nguy cơ. Trường hợp điển hình, một tích hợp hỗ trợ AI gần đây đã bị bắt gặp truyền phát các tin nhắn Slack riêng trực tuyến.

Có liên quan

5 ứng dụng AI tốt nhất cho điện thoại hoặc máy tính bảng Android của bạn

Cắt qua sự lộn xộn để tìm các ứng dụng AI tốt nhất cho Android của bạn

Trợ lý do AI cung cấp tên là Chat Struct có sẵn như một phần mở rộng cho Slack là chủ đề của một cuộc điều tra CyberNews gần đây (thông qua TechRadar) khi cửa hàng tìm thấy một dịch vụ web không được bảo vệ phát trực tuyến dữ liệu người dùng quan trọng mà không được phép. Lỗ hổng được tìm thấy trong một nhà môi giới Apache Kafka là trung tâm cho dữ liệu từ nhiều ứng dụng khác nhau và một diễn viên xấu được yêu thích.

Nó xử lý mọi thứ, từ Gitlab cam kết cho đến các cuộc trò chuyện chùng và nếu bị xâm phạm, cho phép các bên phi đạo đức truy cập vào cùng. Trong Slack, Struct AI sử dụng lõi chatgpt để tóm tắt các cuộc thảo luận, nhưng lỗ hổng của nhà môi giới cho phép gia hạn rò rỉ mọi thứ từ tên người dùng, địa chỉ email, cuộc trò chuyện với người khác và tên nhóm AI, tên nhóm, liên kết đến URL nội bộ và khi người dùng thực hiện Slack hành động, như cập nhật hồ sơ của họ.

Hàng triệu người dùng có nguy cơ bị tổn thương tích cực

Triển khai các biện pháp khắc phục ngay lập tức

Nguồn: Cấu trúc

Thật dễ dàng để thấy làm thế nào đây là một lỗ hổng quan trọng trong Slack và vì ID thiết bị có thể nhìn thấy cùng với họ và họ của người dùng, tin tặc có thể nhắm mục tiêu các cá nhân với ít nỗ lực. Báo cáo nêu rõ rằng chỉ trong một giờ, hơn 1.000 dữ liệu của người dùng duy nhất từ ​​200 công ty duy nhất bị xâm phạm. Tuy nhiên, CyberNews cuối cùng được kiểm tra, lỗ hổng vẫn còn mở để khai thác và công ty đã bỏ qua yêu cầu bình luận của cửa hàng trong khi mô tả sản phẩm cho Struct vẫn hứa với sự an toàn của người dùng.

Đã được một thời gian kể từ khi rò rỉ được phát hiện vào ngày 14 tháng 10 năm ngoái và tiết lộ hai ngày sau đó. Chứng nhận đã được liên hệ vào ngày 4 tháng 12 để tăng tốc độ khắc phục, nhưng nếu bạn đang sử dụng tích hợp AI Chat AI hoặc biết một doanh nghiệp dựa vào nó, chúng tôi đề nghị giảm mức độ phơi nhiễm của bạn, ít nhất là cho đến khi vấn đề được vá một cách thỏa đáng.