Slack a été piraté
Slack, la nouvelle application de communication cool à laquelle de nombreuses grandes entreprises mondiales ont afflué, vient de révéler qu'elle a été piratée.
Les attaquants ont pu accéder à une base de données Slack, a annoncé la société vendredi matin. Rien n'indique que les pirates ont pu déchiffrer les mots de passe stockés sur le serveur, mais Slack intensifie immédiatement ses efforts de sécurité en réponse.
Voici la déclaration officielle de l'entreprise sur l'incident de sécurité :
« Nous avons récemment pu confirmer qu'il y avait un accès non autorisé à une base de données Slack stockant des informations de profil utilisateur. Depuis, nous avons bloqué cet accès non autorisé et apporté des modifications supplémentaires à notre infrastructure technique pour éviter de futurs incidents. »
Slack utilise une base de données centrale qui était accessible aux pirates lors de l'attaque. La base de données contient des noms d'utilisateur, des adresses e-mail et des mots de passe cryptés à sens unique. Il stocke également des informations éventuellement ajoutées telles que des numéros de téléphone et des identifiants Skype.
On se demande si les attaquants auraient pu accéder aux archives de discussion des entreprises si elles n'avaient pas été cryptées. La société affirme qu'aucune information financière n'a été obtenue lors du piratage de Slack, qui s'est déroulé sur quatre jours en février. Cult of Mac a demandé à Slack plus d'informations sur d'autres informations qui auraient pu être vulnérables.
Ce qui est encore plus cool à ce sujet, parce que Slack a une recherche en texte intégral, nous savons que les archives ne sont pas cryptées sur le disque http://t.co/FWxO981IOA
– Matt Langer (@mattlanger) 27 mars 2015
En réponse à l'attaque, Slack a ajouté la possibilité pour les utilisateurs de passer à l'authentification à deux facteurs. Pour l'activer, les utilisateurs doivent se connecter à leur profil Web Slack et activer la nouvelle fonctionnalité. Une fois configuré, vous devrez saisir un code envoyé à votre téléphone par Google Authenticator ou Duo Mobile pour vous connecter à votre compte.
Mettre à jour: Un porte-parole de Slack nous a fait la déclaration suivante :
« Nous ne pouvons pas commenter au-delà des détails de l'article de blog sur toute autre activité non autorisée qui pourrait avoir affecté des comptes individuels. Nous avons été en communication directe avec un très petit nombre de titulaires de comptes individuels et de propriétaires d'équipes, mais nous ne commenterons pas publiquement ces comptes. Nous pouvons confirmer qu'il n'y a eu aucun accès aux bases de données contenant des archives de messages ou d'autres données d'équipe sensibles similaires dans le cadre de cet incident.
Les archives de messages ne sont pas cryptées côté serveur (la recherche est une partie importante de Slack et il n'est pas possible à la fois de crypter les messages en toute sécurité et d'offrir la recherche comme fonctionnalité).
La source: Mou