Slack이 해킹당했습니다.
많은 세계 최고의 기업들이 모여든 멋진 새 커뮤니케이션 앱인 Slack이 해킹을 당했다고 밝혔습니다.
공격자들은 Slack 데이터베이스에 액세스할 수 있었다고 회사는 금요일 아침에 밝혔습니다. 해커가 서버에 저장된 암호를 해독할 수 있다는 징후는 없지만 Slack은 이에 대응하여 즉시 보안 노력을 강화하고 있습니다.
보안 사고에 대한 회사의 공식 성명은 다음과 같습니다.
“최근에 사용자 프로필 정보를 저장하는 Slack 데이터베이스에 대한 무단 액세스가 있음을 확인할 수 있었습니다. 그 이후로 이러한 무단 액세스를 차단하고 향후 사고를 방지하기 위해 기술 인프라를 추가로 변경했습니다.”
Slack은 공격 중에 해커가 액세스할 수 있었던 중앙 데이터베이스를 사용합니다. 데이터베이스에는 사용자 이름, 이메일 주소 및 단방향 암호화된 암호가 포함됩니다. 또한 전화 번호 및 Skype ID와 같은 선택적으로 추가된 정보를 저장합니다.
공격자가 암호화되지 않은 회사의 채팅 아카이브에 액세스할 수 있었는지에 대한 몇 가지 질문이 있습니다. 회사는 지난 2월 4일 동안 발생한 슬랙 해킹 과정에서 금융 정보가 입수되지 않았다고 밝혔다. Cult of Mac은 Slack에 취약했을 수 있는 다른 정보에 대한 추가 정보를 요청했습니다.
더 멋진 점은 Slack이 전체 텍스트 검색을 지원하기 때문에 아카이브가 디스크에서 암호화되지 않는다는 것을 알고 있기 때문입니다. http://t.co/FWxO981IOA
— 맷 랭거(@mattlanger) 2015년 3월 27일
공격에 대응하여 Slack은 사용자가 2단계 인증을 강화할 수 있는 옵션을 추가했습니다. 이를 활성화하려면 사용자는 Slack 웹 프로필에 로그인하고 새 기능을 켜야 합니다. 구성이 완료되면 Google Authenticator 또는 Duo Mobile에서 휴대전화로 전송한 코드를 입력하여 계정에 로그인해야 합니다.
업데이트: Slack 대변인은 다음과 같은 성명을 발표했습니다.
“개인 계정에 영향을 줄 수 있는 기타 승인되지 않은 활동에 대해 블로그 게시물의 세부 정보 외에는 언급할 수 없습니다. 우리는 극소수의 개인 계정 소유자 및 팀 소유자와 직접 소통했지만 이러한 계정에 대해 공개적으로 언급하지 않을 것입니다. 이 사건의 일부로 메시지 아카이브 또는 기타 유사한 민감한 팀 데이터가 포함된 데이터베이스에 대한 액세스가 없음을 확인할 수 있습니다.
메시지 아카이브는 서버 측에서 암호화되지 않습니다(검색은 Slack의 중요한 부분이며 메시지를 안전하게 암호화하고 검색을 기능으로 제공하는 것은 불가능합니다)."
원천: 느슨하게