Slacket feltörték
A Slack, a hűvös új kommunikációs alkalmazás, amelyhez a világ vezető vállalatai közül sokan özönlenek, csak felfedte, hogy feltörték.
A támadók hozzáférhettek a Slack adatbázishoz - közölte a társaság péntek reggel. Nincs arra utaló jel, hogy a hackerek képesek voltak visszafejteni a szerveren tárolt jelszavakat, de a Slack válaszul azonnal fokozza a biztonsági erőfeszítéseket.
Íme a cég hivatalos közleménye a biztonsági incidensről:
„Nemrégiben megerősíthettük, hogy jogosulatlan hozzáférés történt a felhasználói profil adatait tároló Slack adatbázishoz. Azóta letiltottuk ezt az illetéktelen hozzáférést, és további módosításokat hajtottunk végre a műszaki infrastruktúránkon, hogy megelőzzük a jövőbeni eseményeket. ”
A Slack egy központi adatbázist használ, amely hozzáférhetett a hackerekhez a támadás során. Az adatbázis felhasználóneveket, e-mail címeket és egyirányú titkosított jelszavakat tartalmaz. Az opcionálisan hozzáadott információkat, például telefonszámokat és Skype -azonosítókat is tárolja.
Van néhány kérdés azzal kapcsolatban, hogy a támadók hozzáférhettek -e a vállalatok csevegőarchívumához, ha nem titkosították őket. A társaság szerint a Slack -hackelés során, amely februárban négy napon keresztül történt, nem szereztek pénzügyi információkat. A Cult of Mac további információkat kért a Slack -tól az egyéb, sebezhető információkról.
Ami ennél még menőbb, mert a Slack teljes szövegű kereséssel rendelkezik, tudjuk, hogy az archívumok nincsenek titkosítva a lemezen http://t.co/FWxO981IOA
- Matt Langer (@mattlanger) 2015. március 27
A támadásra válaszul a Slack hozzáadta a lehetőséget, hogy a felhasználók fokozzák a kétfaktoros hitelesítést. Ennek engedélyezéséhez a felhasználóknak be kell jelentkezniük Slack webes profiljukba, és be kell kapcsolniuk az új funkciót. A konfigurálás után meg kell adnia egy kódot, amelyet a Google Hitelesítő vagy a Duo Mobile küldött a telefonjára, hogy bejelentkezzen fiókjába.
Frissítés: A Slack szóvivője a következő nyilatkozatot adta nekünk:
„A blogbejegyzés részletein túl nem kommentálhatunk semmilyen más jogosulatlan tevékenységet, amely hatással lehetett az egyéni fiókokra. Közvetlenül kommunikáltunk nagyon kevés egyéni fióktulajdonossal és csapattulajdonossal, de nem teszünk nyilvános megjegyzést ezekről a fiókokról. Megerősíthetjük, hogy az esemény részeként nem lehetett hozzáférni az üzenetarchívumokat vagy más hasonló érzékeny csapatadatokat tartalmazó adatbázisokhoz.
Az üzenetarchívumok nincsenek titkosítva a szerver oldalon (a keresés a Slack fontos része, és nem lehetséges mind az üzenetek biztonságos titkosítása, sem a keresés, mint szolgáltatás). ”
Forrás: Laza