Slack ถูกแฮ็ก
Slack แอพสื่อสารใหม่สุดเจ๋งที่บริษัทชั้นนำระดับโลกหลายแห่งแห่เข้ามา เปิดเผยว่าถูกแฮ็กแล้ว
ผู้โจมตีสามารถเข้าถึงฐานข้อมูล Slack ได้ บริษัท กล่าวเมื่อเช้าวันศุกร์ ไม่มีข้อบ่งชี้ใด ๆ ที่แฮ็กเกอร์สามารถถอดรหัสรหัสผ่านที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ แต่ Slack ได้เพิ่มความพยายามในการรักษาความปลอดภัยทันที
นี่คือแถลงการณ์อย่างเป็นทางการของบริษัทเกี่ยวกับเหตุการณ์ด้านความปลอดภัย:
“เมื่อเร็ว ๆ นี้เราสามารถยืนยันได้ว่ามีการเข้าถึงฐานข้อมูล Slack ที่จัดเก็บข้อมูลโปรไฟล์ผู้ใช้โดยไม่ได้รับอนุญาต ตั้งแต่นั้นมา เราได้บล็อกการเข้าถึงโดยไม่ได้รับอนุญาตนี้ และทำการเปลี่ยนแปลงเพิ่มเติมในโครงสร้างพื้นฐานทางเทคนิคของเรา เพื่อป้องกันเหตุการณ์ในอนาคต”
Slack ใช้ฐานข้อมูลกลางที่แฮกเกอร์เข้าถึงได้ระหว่างการโจมตี ฐานข้อมูลประกอบด้วยชื่อผู้ใช้ ที่อยู่อีเมล และรหัสผ่านที่เข้ารหัสทางเดียว นอกจากนี้ยังจัดเก็บข้อมูลเพิ่มเติม เช่น หมายเลขโทรศัพท์และ Skype ID
มีคำถามบางอย่างเกี่ยวกับว่าผู้โจมตีจะสามารถเข้าถึงคลังแชทของบริษัทได้หรือไม่ หากไม่มีการเข้ารหัส บริษัทกล่าวว่าไม่ได้รับข้อมูลทางการเงินในระหว่างการแฮ็ค Slack ซึ่งเกิดขึ้นในเดือนกุมภาพันธ์เป็นเวลาสี่วัน Cult of Mac ขอให้ Slack สำหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อมูลอื่น ๆ ที่อาจมีความเสี่ยง
ที่เจ๋งกว่านี้ก็คือเพราะ Slack มีการค้นหาข้อความแบบเต็ม เรารู้ว่าไฟล์เก็บถาวรไม่ได้เข้ารหัสบนดิสก์ http://t.co/FWxO981IOA
— แมตต์แลงเกอร์ (@mattlanger) 27 มีนาคม 2558
เพื่อตอบสนองต่อการโจมตี Slack ได้เพิ่มตัวเลือกให้ผู้ใช้เพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย ในการเปิดใช้งาน ผู้ใช้ต้องลงชื่อเข้าใช้โปรไฟล์เว็บ Slack และเปิดคุณลักษณะใหม่ เมื่อกำหนดค่าแล้ว คุณจะต้องป้อนรหัสที่ Google Authenticator หรือ Duo Mobile ส่งไปยังโทรศัพท์ของคุณเพื่อลงชื่อเข้าใช้บัญชีของคุณ
อัปเดต: โฆษกของ Slack ได้ให้คำกล่าวต่อไปนี้แก่เรา:
“เราไม่สามารถแสดงความคิดเห็นนอกเหนือจากรายละเอียดในบล็อกโพสต์เกี่ยวกับกิจกรรมที่ไม่ได้รับอนุญาตอื่น ๆ ที่อาจส่งผลกระทบต่อบัญชีส่วนบุคคล เราได้รับการติดต่อโดยตรงกับผู้ถือบัญชีบุคคลธรรมดาและเจ้าของทีมจำนวนไม่มาก แต่จะไม่แสดงความคิดเห็นต่อสาธารณะเกี่ยวกับบัญชีเหล่านี้ เราสามารถยืนยันได้ว่าไม่มีการเข้าถึงฐานข้อมูลที่มีที่เก็บข้อความหรือข้อมูลของทีมที่มีความละเอียดอ่อนอื่น ๆ ที่คล้ายคลึงกันซึ่งเป็นส่วนหนึ่งของเหตุการณ์นี้
ที่เก็บข้อความไม่ได้เข้ารหัสทางฝั่งเซิร์ฟเวอร์ (การค้นหาเป็นส่วนสำคัญของ Slack และเป็นไปไม่ได้ที่จะเข้ารหัสข้อความอย่างปลอดภัยและเสนอการค้นหาเป็นคุณสมบัติ)”
แหล่งที่มา: หย่อน
