تم اختراق Slack
Slack ، تطبيق الاتصالات الجديد الرائع الذي توافد عليه العديد من أفضل الشركات في العالم ، كشف للتو أنه تم اختراقه.
قالت الشركة صباح الجمعة إن المهاجمين تمكنوا من الوصول إلى قاعدة بيانات Slack. ليس هناك ما يشير إلى أن المتسللين كانوا قادرين على فك تشفير كلمات المرور المخزنة على الخادم ، ولكن Slack يقوم على الفور بتكثيف جهود الأمان استجابةً لذلك.
إليكم بيان الشركة الرسمي حول الحادث الأمني:
"تمكنا مؤخرًا من التأكد من وجود وصول غير مصرح به إلى قاعدة بيانات Slack التي تخزن معلومات ملف تعريف المستخدم. ومنذ ذلك الحين ، حظرنا هذا الوصول غير المصرح به وأجرينا تغييرات إضافية على بنيتنا التحتية التقنية لمنع الحوادث المستقبلية ".
يستخدم Slack قاعدة بيانات مركزية كان بإمكان المتسللين الوصول إليها أثناء الهجوم. تحتوي قاعدة البيانات على أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور المشفرة أحادية الاتجاه. يقوم أيضًا بتخزين المعلومات المضافة اختياريًا مثل أرقام الهواتف ومعرفات Skype.
هناك بعض التساؤلات حول ما إذا كان المهاجمون سيتمكنون من الوصول إلى أرشيفات الدردشة الخاصة بالشركات إذا لم يتم تشفيرها. تقول الشركة إنه لم يتم الحصول على أي معلومات مالية خلال اختراق Slack ، الذي حدث على مدار أربعة أيام في فبراير. طلبت Cult of Mac من Slack الحصول على مزيد من المعلومات حول المعلومات الأخرى التي قد تكون معرضة للخطر.
الأمر الأكثر روعة في هذا الأمر هو أن تطبيق Slack لديه إمكانية البحث عن نص كامل ، فنحن نعلم أن الأرشيفات غير مشفرة على القرص http://t.co/FWxO981IOA
- مات لانجر (mattlanger) 27 مارس 2015
ردًا على الهجوم ، أضاف Slack خيارًا للمستخدمين لتكثيف المصادقة الثنائية. لتمكينه ، يحتاج المستخدمون إلى تسجيل الدخول إلى ملف تعريف الويب الخاص بهم على Slack وتبديل الميزة الجديدة. بمجرد التهيئة ، ستتم مطالبتك بإدخال رمز تم إرساله إلى هاتفك بواسطة Google Authenticator أو Duo Mobile لتسجيل الدخول إلى حسابك.
تحديث: أعطانا متحدث باسم Slack البيان التالي:
"لا يمكننا التعليق بما يتجاوز التفاصيل الواردة في منشور المدونة حول أي نشاط آخر غير مصرح به قد يكون قد أثر على الحسابات الفردية. لقد كنا على اتصال مباشر مع عدد صغير جدًا من أصحاب الحسابات الفردية ومالكي الفريق ، لكننا لن نعلق علنًا على هذه الحسابات. يمكننا أن نؤكد أنه لم يكن هناك وصول إلى قواعد البيانات التي تحتوي على أرشيفات الرسائل أو غيرها من بيانات الفريق الحساسة المماثلة كجزء من هذا الحادث.
لا يتم تشفير أرشيفات الرسائل على جانب الخادم (يعد البحث جزءًا مهمًا من Slack ولا يمكن تشفير الرسائل بشكل آمن وتقديم البحث كميزة). "
مصدر: تثاقل
