Slack נפרץ
Slack, אפליקציית התקשורת החדשה והמגניבה שאליה נהרו רבות מהחברות המובילות בעולם, רק חשפה שהיא נפרצה.
התוקפים הצליחו לגשת למסד נתונים Slack, כך מסרה החברה ביום שישי בבוקר. אין שום אינדיקציה לכך שהאקרים הצליחו לפענח סיסמאות המאוחסנות בשרת, אך Slack מגבירה מיד את מאמצי האבטחה בתגובה.
להלן הודעת החברה הרשמית על אירוע האבטחה:
"לאחרונה הצלחנו לאשר כי קיימת גישה בלתי מורשית למסד נתונים Slack המאחסן מידע על פרופיל משתמש. מאז חסמנו גישה בלתי מורשית זו וביצענו שינויים נוספים בתשתית הטכנית שלנו כדי למנוע אירועים עתידיים ".
Slack משתמשת במסד נתונים מרכזי שהיה נגיש להאקרים במהלך הפיגוע. מסד הנתונים מכיל שמות משתמשים, כתובות דוא"ל וסיסמאות מוצפנות בכיוון אחד. הוא גם שומר מידע נוסף שאפשר להוסיף כמו מספרי טלפון ומזהי סקייפ.
יש שאלה אם התוקפים היו יכולים לגשת לארכיון הצ'אט של החברות אם הם לא היו מוצפנים. החברה מסרה כי לא התקבל מידע פיננסי במהלך הפריצה Slack, שהתרחשה במשך ארבעה ימים בפברואר. Cult of Mac ביקש מ- Slack מידע נוסף על מידע אחר שעשוי להיות פגיע.
מה שעוד יותר מגניב בזה, מכיוון של- Slack יש חיפוש בטקסט מלא, אנו יודעים שהארכיון אינו מוצפן בדיסק http://t.co/FWxO981IOA
- מאט לנגר (@mattlanger) 27 במרץ 2015
בתגובה להתקפה, Slack הוסיפה את האפשרות למשתמשים לעלות לאימות דו-גורמי. כדי לאפשר זאת, משתמשים צריכים להיכנס לפרופיל האינטרנט שלהם Slack ולהפעיל את התכונה החדשה. לאחר ההגדרה, תידרש להזין קוד שנשלח לטלפון שלך על ידי Google Authenticator או Duo Mobile כדי להיכנס לחשבון שלך.
עדכון: דובר Slack מסר לנו את ההצהרה הבאה:
"איננו יכולים להגיב מעבר לפרטים בפוסט בבלוג על כל פעילות בלתי מורשית אחרת שעלולה להשפיע על חשבונות בודדים. היינו בתקשורת ישירה עם מספר קטן מאוד של בעלי חשבונות בודדים ובעלי צוותים, אך לא נגיב בפומבי על חשבונות אלה. אנו יכולים לאשר כי לא הייתה גישה למאגרי מידע המכילים ארכיוני הודעות או נתוני צוות רגישים אחרים כחלק מאירוע זה.
ארכיוני ההודעות אינם מוצפנים בצד השרת (חיפוש הוא חלק חשוב ב- Slack ואי אפשר להצפין הודעות בצורה מאובטחת ולהציע חיפוש כתכונה).
מָקוֹר: רָפוּי