Slack je hakiran
Slack, cool nova komunikacijska aplikacija u koju su se okupile mnoge vodeće svjetske tvrtke, upravo je otkrila da je hakirana.
Napadači su mogli pristupiti Slack bazi podataka, objavila je kompanija u petak ujutro. Nema naznaka da su hakeri uspjeli dešifrirati lozinke pohranjene na poslužitelju, ali Slack odmah pojačava sigurnosne napore kao odgovor.
Evo službenog priopćenja tvrtke o sigurnosnom incidentu:
“Nedavno smo mogli potvrditi da je postojao neovlašteni pristup Slack bazi podataka koja pohranjuje podatke o korisničkom profilu. Od tada smo blokirali ovaj neovlašteni pristup i unijeli dodatne promjene u našu tehničku infrastrukturu kako bismo spriječili buduće incidente. ”
Slack koristi središnju bazu podataka koja je hakerima bila dostupna tijekom napada. Baza podataka sadrži korisnička imena, e-adrese i jednosmjerno šifrirane lozinke. Također pohranjuje opcionalno dodane podatke poput telefonskih brojeva i Skype ID -ova.
Postoji pitanje o tome bi li napadači mogli pristupiti arhivi chata tvrtki da nisu šifrirani. Tvrtka kaže da nisu dobivene financijske informacije tijekom Slack hack -a, koji se dogodio tijekom četiri dana u veljači. Cult of Mac zatražio je od Slacka više informacija o drugim informacijama koje su mogle biti ranjive.
Ono što je još hladnije u tome je to što Slack ima pretraživanje cijelog teksta, znamo da arhive nisu šifrirane na disku http://t.co/FWxO981IOA
- Matt Langer (@mattlanger) 27. ožujka 2015
Kao odgovor na napad, Slack je dodao mogućnost korisnicima da pojačaju autentifikaciju u dva faktora. Da bi ga omogućili, korisnici se moraju prijaviti na svoj Slack web profil i uključiti novu značajku. Nakon što ste konfigurirali, morat ćete unijeti kôd koji vam je Google Authenticator ili Duo Mobile poslao na telefon da biste se prijavili na svoj račun.
Ažuriranje: Glasnogovornik Slacka dao nam je sljedeću izjavu:
“Ne možemo komentirati dalje od detalja u postu na blogu o bilo kojoj drugoj neovlaštenoj aktivnosti koja je mogla utjecati na pojedinačne račune. Bili smo u izravnoj komunikaciji s vrlo malim brojem pojedinačnih vlasnika računa i vlasnika tima, ali nećemo javno komentirati te račune. Možemo potvrditi da u sklopu ovog incidenta nije bilo pristupa bazama podataka koje sadrže arhive poruka ili druge slične osjetljive podatke tima.
Arhive poruka nisu šifrirane na strani poslužitelja (pretraživanje je važan dio Slacka i nije moguće i sigurno šifrirati poruke i ponuditi pretraživanje kao značajku). "
Izvor: Zatišje