Из-за «дыры» в Slack можно получить мейлы всех участников канала
Один из участников канала в Slack может получить почтовые адреса всех остальных участников - без их согласия, из-за уязвимости в программе. Это - довольно старая уязвимость, однако в компании не спешат ее фиксить. На днях ее описал маркетолог Руслан Назаренко.
По его словам, есть два способа вытянуть список почтовых адресов из канала в Slack. Первый срабатывает через API, если модераторы канала не ограничили возможности создавать токены (токены аутентификации — это наборы символов вроде паролей, которые могут генерировать пользователи, и которые дают возможность интегрировать ботов, скрипты или другие программы с командой Slack). Все, что нужно: создать новый токен, затем пойти на страницу api.slack.com/methods/users.list/test, нажать Test Method, затем пойти на http://convertcsv.com/json-to-csv.htm и сконвертировать результаты в CSV-файл.
Второй метод — еще проще. Нужно просто открыть Slack-канал, в нем найти перечень всех участников, доскроллить его до конца, а затем открыть консоль в браузере и ввести туда несколько строк кода:
var members = TS.model.members.map(function(member) {
return {
‘firstName’: member.profile.first_name,
‘lastName’: member.profile.last_name,
‘profileImage’: member.profile.image_original,
’email’: member.profile.email,
‘title’: member.profile.title,
‘timezone’: member.tz
}
});
console.log(JSON.stringify(members));
В результате пользователь получает перечень всех почтовых адресов участников канала в таком формате.
Причем в выдаче есть как мейлы действующих, так и бывших участников канала.
«Я показал эти два способа, чтобы, во-первых, Slack хоть что-то сделал, во-вторых, люди понимали, что свои данные или данные пользователей надо защищать, и в-третьих — что маркетологам не обязательно засыпать почтовый ящик письмами. Список мейлов можно загрузить в Custom Audience и узнать больше про пользователей через Audience Insight. Или через Phantombuster вытащить инфу из LinkedIn», — отмечает Назаренко.
Напомним, ранее мы рассказывали об украинской компании, которая разрабатывает ПО для слежки за смартфонами, и которая хранила данные пользователей в открытом виде.
Комментарии | 1
Это не «дыра», не «уязвимость» и ее, естественно, никто не будет фиксить.
Email-адреса свободно доступны в профилях пользователей и в посте на ФБ были описаны способы как быстро собрать все адреса в канале (автор поста маркетолог, ему это, видимо, нужно для «таргетированной» спам-рассылки).
Также, в оригинале не написано ничего похожего на «Это – довольно старая уязвимость, однако в компании не спешат ее фиксить».
Там, образно: Это старый хак, но о нем мало кто знает. Хак, в этом контексте, отнюдь не взлом, а именно хитрость.
вернет, максимум, деактивированных. Ливнувших (бывших) сервер не возвращает.
Цитата неясно откуда, но «не-маркетологам» очевидно, что сделать тут можно только одно — добавить чекбокс «Отображать мой Email». Вот только делать это, скорее всего, никто не станет 😀 (польза от этого изменения явно ниже трудозатрат).