Из-за «дыры» в Slack можно получить мейлы всех участников канала

2110
1

Один из участников канала в Slack может получить почтовые адреса всех остальных участников - без их согласия, из-за уязвимости в программе. Это - довольно старая уязвимость, однако в компании не спешат ее фиксить. На днях ее описал маркетолог Руслан Назаренко.

По его словам, есть два способа вытянуть список почтовых адресов из канала в Slack. Первый срабатывает через API, если модераторы канала не ограничили возможности создавать токены (токены аутентификации — это наборы символов вроде паролей, которые могут генерировать пользователи, и которые дают возможность интегрировать ботов, скрипты или другие программы с командой Slack). Все, что нужно: создать новый токен, затем пойти на страницу api.slack.com/methods/users.list/test, нажать Test Method, затем пойти на http://convertcsv.com/json-to-csv.htm и сконвертировать результаты в CSV-файл. 

Второй метод — еще проще. Нужно просто открыть Slack-канал, в нем найти перечень всех участников, доскроллить его до конца, а затем открыть консоль в браузере и ввести туда несколько строк кода: 

var members = TS.model.members.map(function(member) {
return {
‘firstName’: member.profile.first_name,
‘lastName’: member.profile.last_name,
‘profileImage’: member.profile.image_original,
’email’: member.profile.email,
‘title’: member.profile.title,
‘timezone’: member.tz
}
});

console.log(JSON.stringify(members));

В результате пользователь получает перечень всех почтовых адресов участников канала в таком формате.

Причем в выдаче есть как мейлы действующих, так и бывших участников канала.

«Я показал эти два способа, чтобы, во-первых, Slack хоть что-то сделал, во-вторых, люди понимали, что свои данные или данные пользователей надо защищать, и в-третьих — что маркетологам не обязательно засыпать почтовый ящик письмами. Список мейлов можно загрузить в Custom Audience и узнать больше про пользователей через Audience Insight. Или через Phantombuster вытащить инфу из LinkedIn», — отмечает Назаренко. 

Напомним, ранее мы рассказывали об украинской компании, которая разрабатывает ПО для слежки за смартфонами, и которая хранила данные пользователей в открытом виде. 

Оставить комментарий

Комментарии | 1

  • Это не «дыра», не «уязвимость» и ее, естественно, никто не будет фиксить.
    Email-адреса свободно доступны в профилях пользователей и в посте на ФБ были описаны способы как быстро собрать все адреса в канале (автор поста маркетолог, ему это, видимо, нужно для «таргетированной» спам-рассылки).
    Также, в оригинале не написано ничего похожего на «Это – довольно старая уязвимость, однако в компании не спешат ее фиксить».
    Там, образно: Это старый хак, но о нем мало кто знает. Хак, в этом контексте, отнюдь не взлом, а именно хитрость.

    Причем в выдаче есть как мейлы действующих, так и бывших участников канала

    вернет, максимум, деактивированных. Ливнувших (бывших) сервер не возвращает.

    Я показал эти два способа, чтобы, во-первых, Slack хоть что-то сделал

    Цитата неясно откуда, но «не-маркетологам» очевидно, что сделать тут можно только одно — добавить чекбокс «Отображать мой Email». Вот только делать это, скорее всего, никто не станет 😀 (польза от этого изменения явно ниже трудозатрат).

Поиск