прислать материал
AIN.UA » Безопасность, КоллекцииИз-за «дыры» в Slack можно получить мейлы всех участников канала

Из-за «дыры» в Slack можно получить мейлы всех участников канала

1264 1

Один из участников канала в Slack может получить почтовые адреса всех остальных участников – без их согласия, из-за уязвимости в программе. Это – довольно старая уязвимость, однако в компании не спешат ее фиксить. На днях ее описал маркетолог Руслан Назаренко.

По его словам, есть два способа вытянуть список почтовых адресов из канала в Slack. Первый срабатывает через API, если модераторы канала не ограничили возможности создавать токены (токены аутентификации – это наборы символов вроде паролей, которые могут генерировать пользователи, и которые дают возможность интегрировать ботов, скрипты или другие программы с командой Slack). Все, что нужно: создать новый токен, затем пойти на страницу api.slack.com/methods/users.list/test, нажать Test Method, затем пойти на http://convertcsv.com/json-to-csv.htm и сконвертировать результаты в CSV-файл. 

Второй метод – еще проще. Нужно просто открыть Slack-канал, в нем найти перечень всех участников, доскроллить его до конца, а затем открыть консоль в браузере и ввести туда несколько строк кода: 

var members = TS.model.members.map(function(member) {
return {
‘firstName’: member.profile.first_name,
‘lastName’: member.profile.last_name,
‘profileImage’: member.profile.image_original,
’email’: member.profile.email,
‘title’: member.profile.title,
‘timezone’: member.tz
}
});

console.log(JSON.stringify(members));

В результате пользователь получает перечень всех почтовых адресов участников канала в таком формате.

Причем в выдаче есть как мейлы действующих, так и бывших участников канала.

“Я показал эти два способа, чтобы, во-первых, Slack хоть что-то сделал, во-вторых, люди понимали, что свои данные или данные пользователей надо защищать, и в-третьих – что маркетологам не обязательно засыпать почтовый ящик письмами. Список мейлов можно загрузить в Custom Audience и узнать больше про пользователей через Audience Insight. Или через Phantombuster вытащить инфу из LinkedIn”, – отмечает Назаренко. 

Напомним, ранее мы рассказывали об украинской компании, которая разрабатывает ПО для слежки за смартфонами, и которая хранила данные пользователей в открытом виде. 

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

1 комментарий

по хронологии
по рейтингу сначала новые по хронологии

Это не "дыра", не "уязвимость" и ее, естественно, никто не будет фиксить.
Email-адреса свободно доступны в профилях пользователей и в посте на ФБ были описаны способы как быстро собрать все адреса в канале (автор поста маркетолог, ему это, видимо, нужно для "таргетированной" спам-рассылки).
Также, в оригинале не написано ничего похожего на "Это – довольно старая уязвимость, однако в компании не спешат ее фиксить".
Там, образно: Это старый хак, но о нем мало кто знает. Хак, в этом контексте, отнюдь не взлом, а именно хитрость.

Причем в выдаче есть как мейлы действующих, так и бывших участников канала

вернет, максимум, деактивированных. Ливнувших (бывших) сервер не возвращает.

Я показал эти два способа, чтобы, во-первых, Slack хоть что-то сделал

Цитата неясно откуда, но "не-маркетологам" очевидно, что сделать тут можно только одно - добавить чекбокс "Отображать мой Email". Вот только делать это, скорее всего, никто не станет 😀 (польза от этого изменения явно ниже трудозатрат).

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: