Slack & Hack: что нужно знать о нарушении безопасности инструмента совместной работы

Популярный онлайн-инструмент для совместной работы Slack был взломан, что привело к утечке 500 000 адресов электронной почты и других данных личного кабинета. Хотя пароли остаются безопасными, пользователям рекомендуется предпринимать шаги.

Что такое слабина?

Slack — это инструмент для совместной работы, который, по сути, представляет собой набор пользовательских чатов, поддерживающих общий доступ к файлам и личный обмен сообщениями. Slack был запущен в августе 2013 года и в течение 24 часов после запуска привлек 8000 пользователей. Этот сервис, идеально подходящий для небольших групп, а не для крупных отделов, также предлагает интеграцию с другими инструментами, такими как Google Docs и Dropbox.

Ая-безопасность slackhack-логотип

Это не тот инструмент, который вы обычно используете по дому, но если вы работаете в офисе, который нуждается в хорошем программном обеспечении для управления проектами

и хотим сделать внутригрупповое общение более эффективным

Независимо от того, сгруппированы ли ваши коллеги в офисе или существуют как распределенная команда (также известная как виртуальная команда, т. е. состоящая из персонала, расположенного вокруг планеты), Slack — отличный выбор.

Slack доступен в вашем браузере, а также в качестве мобильного приложения для iOS и Android. Официальные настольные клиенты доступны для Windows и Mac OS X, а также есть неофициальная версия Linux

,

Нарушение безопасности Slack

Slack, возможно, стал целью благодаря недавней оценке рынка в 2,76 миллиарда долларов, а также новостям о том, что 135 000 из 500 000 пользователей платят плату за использование сервиса или платят взносы от их имени работодателем.

Нарушение произошло еще в феврале и продолжалось четыре дня. Слэк сказал The Verge, что «базы данных, содержащие историю сообщений команды, не были доступны как часть нарушения. Информация об оплате не была раскрыта… »

Интересно, что это не первый случай, когда Слэк застигнуты штанами из соображений безопасности. В октябре 2014 года было сообщено об ошибке, которая позволяла незарегистрированным посетителям сайта просматривать названия каналов (чатов), используемых конкретной компанией.

Таким образом, поскольку командные сообщения оставались конфиденциальными (что, вероятно, спасло Slack многих уже обеспокоенных клиентов), акцент был сделан на деталях пользователя, таких как адрес электронной почты, используемый для входа в систему, и другой информации профиля, такой как имя пользователя Slack, номер телефона , данные профиля и имя учетной записи Skype.

Как насчет паролей?

Slack утверждает, что взломанные пароли не будут взломаны злоумышленниками, поскольку они являются «односторонними зашифрованными (« хешированными ») паролями».

Ая-безопасность slackhack-laptop2

Чтобы объяснить дальше:

«У нас нет никаких признаков того, что хакеры смогли расшифровать сохраненные пароли, поскольку Slack использует метод одностороннего шифрования, называемый хешированием».

Стоит отметить, что Слэк эффективно справился с этим вопросом и не раскрывал никакой информации о нападении, пока не связался с теми, кто был затронут. Так что, если вы не слышали от Slack, то вряд ли вы будете затронуты.

Однако тот факт, что эти пароли хешируются, не означает, что их нельзя взломать с помощью правильных инструментов.

Принимая меры для обеспечения слабины

Чтобы справиться с атакой, Slack представил две новые функции. Первым было дать администраторам универсальный переключатель сброса, заставляя всех пользователей в определенной команде сбрасывать свои пароли. Это позволит смягчить любые непосредственные проблемы безопасности.

Ая-безопасность slackhack-enable2fa

Однако в долгосрочной перспективе ответ, несомненно, можно найти в двухфакторной аутентификации.

, который также был представлен Slack. Чтобы активировать это, вы должны войти в свою учетную запись Slack, нажмите ваш статус в левом нижнем углу и выберите Ваш профиль> Редактировать профиль. Отсюда переключитесь на настройки а также расширять Двухфакторная аутентификация раздел.

Добавьте свой текущий пароль Slack, нажмите Включить двухфакторную аутентификацию Кнопка, где вы увидите инструкции по сканированию штрих-кода с выбранным вами приложением для аутентификации (скриншоты ниже взяты из Google Authenticator, но вы также можете использовать Duo для Android или iPhone или Windows Phone Authenticator).

Затем перейдите к приложению для проверки подлинности на смартфоне и используйте параметр настройки учетной записи для сканирования штрих-кода. Будет отображен код подтверждения, и вам нужно будет ввести его в поле на веб-сайте Slack, чтобы активировать двухфакторную аутентификацию.

Обратите внимание, что также будут отображаться десять резервных кодов на случай, если вы потеряете свой смартфон. Если это произойдет, используйте резервный код для входа в Slack.

Более двухфакторная аутентификация, пожалуйста!

Slack следует похвалить за их скорость и эффективность в устранении нарушения, как только оно обнаружено. Хотя это произошло в феврале, первым ответом компании было связаться с владельцами учетных записей.

Интересно, что Slack уже планировал ввести двухфакторную аутентификацию, но все это событие действительно говорит нам о том, что 2FA должен быть уже установлен для всех учетных записей в Интернете. Это просто имеет смысл, даже если бы все настройки двухфакторной аутентификации могли быть упрощены

,

Вы были затронуты нарушением Slack? Вы разочарованы отсутствием двухфакторной аутентификации в используемых вами сервисах? Дайте нам знать.

Кредит изображения: Топор рубит дрова Via Shutterstock, Женщина с ноутбуком через PlaceIt, JC713

Ссылка на основную публикацию
Adblock
detector