Slacks brugerdatabase er hacket

Artiklen blev oprindeligt publiceret den 30/3/2015

Brugere af samarbejdssystemet Slack opfordres til at skifte password, efter at brugerdatabasen blev hacket i februar. Slack indfører to-faktor-autentifikation for at beskytte mod misbrug fremover.

Gennem fire dage i februar havde hackere adgang til brugerdatabasen. Dermed kan de se brugernavne, e-mailadresser og passwords lagret som hash-værdier. Hvis brugerne har tilføjet information såsom telefonnummer eller Skype-ID, er det også kommet i hackernes hænder.

Da passwords er beskyttet med en hash-funktion kombineret med et såkaldt salt, vil de være vanskelige at knække.

Alligevel har Slack observeret mistænkelig opførsel ved nogle få brugerkonti. De berørte brugere er orienteret.

Slack har nu indført to-faktor-autentifikation og anbefaler, at alle slår det til.

Endvidere er der indført en funktion, hvor team-ejere kan nulstille passwords for alle medlemmer af et team og slukke for alle sessioner med øjeblikkelig virkning.

Anbefaling
Skift password og slå to-faktor-autentifikation til.

Links

• March 2015 Security Incident and the Launch of Two Factor Authentication, blogindlæg fra Slack
• Slack Says It Was Hacked, Enables Two-Factor Authentication, artikel fra Wired
• Why you need to hash reset_token like password, blogindlæg af Egor Homakov