0918006093
Tin tức
Khuyến mãi
IPHONE
IPAD
Công cụ Slack này đang rò rỉ dữ liệu người dùng nhạy cảm
Công cụ Slack đang rò rỉ dữ liệu người dùng bí mật
Tóm tắt
Slack đã bị ảnh hưởng bởi một lỗ hổng trong một tiện ích mở rộng được trang bị trí tuệ nhân tạo, đang rò rỉ dữ liệu người dùng riêng tư trực tuyến.
Hơn 1.000 dữ liệu người dùng duy nhất từ 200 công ty đã bị rò rỉ chỉ trong một giờ.
Cho đến khi vấn đề được sửa, người dùng nên thực hiện biện pháp khắc phục ngay lập tức để giảm thiểu tiếp xúc.
Các ứng dụng truyền thông cho việc sử dụng cá nhân không thể được xử lý giống như những ứng dụng bạn sẽ tìm thấy trong môi trường doanh nghiệp, và ngay cả các công ty tạo ra những ứng dụng trò chuyện tốt nhất cũng có sản phẩm dành cho không gian làm việc. Slack là một ứng dụng nhắn tin như vậy, và một công cụ phổ biến cho các doanh nghiệp mọi kích thước. Ngoài việc trò chuyện, giọng nói và video, nó cũng giúp tăng cường năng suất với các tiện ích trình duyệt, nhưng những tiện ích này đôi khi mang theo nguy hiểm. Ví dụ, một tích hợp được trang bị trí tuệ nhân tạo gần đây đã bị phát hiện đang truyền dữ liệu trò chuyện riêng tư trên Slack trực tuyến.
Một trợ lý được trang bị trí tuệ nhân tạo có tên Struct Chat có sẵn dưới dạng một tiện ích mở rộng cho Slack đã là đề tài của một cuộc điều tra gần đây của Cybernews (qua TechRadar) khi trang thông tin phát hiện một dịch vụ web không được bảo vệ đang truyền dữ liệu người dùng quan trọng mà không được ủy quyền. Lỗ hổng được tìm thấy trong một Apache Kafka Broker mà là trung tâm cho dữ liệu từ nhiều ứng dụng khác nhau, và là mục tiêu ưa thích của các bên độc hại.
Nó xử lý mọi thứ từ các commit GitLab đến các cuộc trò chuyện trên Slack, và nếu bị chiếm đoạt, sẽ cho phép các bên không đạo đức truy cập vào cùng những điều đó. Trong Slack, Struct AI sử dụng một lõi ChatGPT để tóm tắt các cuộc trò chuyện, nhưng lỗ hổng trên broker đã cho phép tiện ích này rò rỉ mọi thứ từ tên người dùng, địa chỉ email, cuộc trò chuyện với người khác và bot AI, tên nhóm, liên kết đến URL nội bộ, và khi người dùng thực hiện các hành động trên Slack, như cập nhật hồ sơ của họ.
Hàng triệu người dùng đang gặp nguy cơ từ lỗ hổng đang hoạt động
Triển khai biện pháp khắc phục ngay lập tức
Nguồn: Struct
Dễ thấy rằng đây là một lỗ hổng quan trọng trong Slack, và vì ID thiết bị có thể nhìn thấy cùng với tên đầu và cuối của người dùng, tin tặc có thể nhắm mục tiêu cá nhân mà không cần nhiều nỗ lực. Báo cáo cho biết rằng chỉ trong một giờ, hơn 1.000 dữ liệu người dùng duy nhất từ 200 công ty đã bị rò rỉ. Tuy nhiên, lần cuối Cybernews kiểm tra, lỗ hổng vẫn mở cho việc khai thác, và công ty đã phớt lờ yêu cầu của trang thông tin trong khi mô tả sản phẩm cho Struct vẫn hứa hẹn an toàn cho người dùng.
Đã một thời gian kể từ khi rò rỉ được phát hiện vào ngày 14 tháng 10 năm ngoái, và được tiết lộ hai ngày sau đó. CERT đã được liên hệ vào ngày 4 tháng 12 để tăng tốc quá trình khắc phục, nhưng nếu bạn đang sử dụng tích hợp AI trò chuyện Struct Chat hoặc biết một doanh nghiệp phụ thuộc vào nó, chúng tôi khuyến nghị mạnh mẽ giảm thiểu tiếp xúc của bạn, ít nhất cho đến khi vấn đề được vá đầy đủ.
Bài viết này được đăng lần đầu trên User manual. #Slack #lỗhổng #dữliệu #ngườiđùng #bímật #tiệních #trítuệnhântạo #Cybernews #Struct #biệnphápkhắcphục #tinmới
Nguồn: https://manualmentor.com/this-slack-tool-is-leaking-confidential-user-data.html?utm_source=rss&utm_medium=rss&utm_campaign=this-slack-tool-is-leaking-confidential-user-data
Summary
- Slack was affected by a vulnerability in an AI-powered extension leaking private user data online.
- Over 1,000 unique users’ data from 200 companies was compromised in just an hour.
- Until the issue is fixed, users should take immediate remedial measures to reduce exposure.
Communication apps for personal use cannot be treated the same as those you would find in a corporate setting, and even the companies making the best chat apps have dedicated workspace-tier products. Slack is one such messaging app, and a popular tool for corporations of every size. Besides chat, voice, and video, it also helps boost productivity with browser-style extensions, but these extensions sometimes pack dangers. Case in point, an AI-powered integration was recently caught streaming private Slack messages online.
Related
The 5 best AI apps for your Android phone or tablet
Cut through the clutter to find the best AI apps for your Android
An AI-powered assistant called Struct Chat available as an extension for Slack was the subject of a recent Cybernews investigation (via TechRadar) when the outlet found an unprotected web service streaming important user data without authorization. The vulnerability was found in an Apache Kafka Broker that’s a hub for data from multiple different applications, and a bad actor-favorite.
It processes everything from GitLab commits to Slack conversations, and if compromised, gives unethical parties access to the same. In Slack, Struct AI uses a ChatGPT core to summarize discussions, but the broker vulnerability allowed the extension to leak everything from usernames, email addresses, conversations with others and the AI bot, team names, links to internal URLs, and when users perform Slack actions, like updating their profile.
Millions of users at risk from active vulnerability
Deploy remedial measures immediately
Source: Struct
It’s easy to see how this is a critical vulnerability in Slack, and since device IDs are visible along with users’ first and last names, hackers could target individuals with little effort. The report states that in an hour alone, over 1,000 unique users’ data from 200 unique companies is compromised. However, last Cybernews checked, the vulnerability is still open to exploitation, and the company ignored the outlet’s request for comment while the product description for Struct still promised user safety.
It has been a while since the leak was discovered on October 14 last year, and disclosed two days thereafter. CERT was contacted on December 4 to speed up remediation, but if you’re using the Struct Chat AI integration or know an enterprise that relies on it, we strongly suggest reducing your exposure, at least until the issue is satisfactorily patched.
The post This Slack tool is leaking confidential user data first appeared on User manual.
