0

Hakerzy zaatakowali Slacka cztery lata temu. Użytkownicy skutki odczuwają do dziś

Slack ponownie resetuje hasła użytkownikom. To pokłosie ataku hakerów z marca 2015 r., w którym udało im się pozyskać dostęp do bazy danych.

W marcu 2015 r. Slack padł ofiarą ataku, który dotknął także wiele innych podmiotów: między innymi British Airways i GitHub. Hakerzy uzyskali dostęp do infrastruktury komunikatora i weszli w posiadanie bazy danych z loginami i zaszyfrowanymi hasłami zarejestrowanych użytkowników. Udało im się też wprowadzić złośliwy kod umożliwiający przechwytywanie, w postaci tekstowej, wpisywanych przez nieświadomych ludzi haseł. Włamanie zostało stosunkowo szybko wykryte, hasła niewielkiej części użytkowników zresetowano i wprowadzono dodatkowe środki mające udaremnić ewentualne dalsze ataki, w tym podwójne uwierzytelnianie zapewniające zwiększoną ochronę przy logowaniu do serwisu. Od tamtych wydarzeń minęły 4 lata, a sprawa wciąż jest na tyle poważna, że firma podjęła decyzję o ponownym zresetowaniu haseł potencjalnych ofiar ataku.

Zobacz też: Boom! Slack nie jest już liderem swojego rynku. Królem jest… Microsoft

Reset haseł nie dotyczy jednak wszystkich korzystających z tego komunikatora. Dotyczy 1% aktywnych kont, które w 2015 r. mogły paść ofiarą ataku hakerów. Mowa tu o ok. 100 tys. nieświadomych użytkowników, którzy stworzyli swoje profile przed marcem 2015 r. nie zmieniali od tamtego czasu hasła i nie wykorzystują do autoryzacji pojedynczego logowania (SSO).  Inne źródła, takie jak ZDNet, podają, że dotyczyć to może ok. 65 tys. osób. Decyzja ta została podjęta po otrzymaniu nowych informacji z programów bug bounty z dołączonymi informacjami na temat danych logowania użytkowników, które po weryfikacji okazały się pochodzącymi z bazy Slack.

Zobacz też: Korzystasz z takiego hasła? Sam jesteś sobie winien

Jeśli nie otrzymaliście informacji o zmianie hasła w komunikatorze Slack, to możecie czuć się bezpiecznie, choć… i tak, dla pewności, warto je zmienić samemu. Firma sugeruje też włączenie podwójnego uwierzytelniania. Należy też pamiętać, by nie używać tych samych kombinacji w różnych serwisach, czy usługach.