Slack & Hack: Was Sie über Sicherheitsverletzungen bei Collaboration-Tools wissen müssen

| Von

Slack-Bruch

Das beliebte Online-Kooperationsgerät Slack wurde verletzt, was dazu führte, dass 500.000 E-Mail-Adressen sowie verschiedene andere individuelle Kontodaten durchgesickert waren. Während Passwörter eigentlich sicher geblieben sind, sind die Kunden motiviert, Schritte zu unternehmen.

Nur was ist Slack?

Slack ist ein Kooperationstool, das im Grunde eine Sammlung von benutzerdefinierten Chatrooms ist, die das Teilen von Dokumenten sowie private Nachrichten unterstützen. Slack wurde im August 2013 eingeführt und hatte auch innerhalb von 24 Stunden nach dem Start tatsächlich 8000 Anmeldungen gebracht. Perfekt für kleinere Teams anstelle großer Abteilungen, bietet der Dienst auch die Integration mit verschiedenen anderen Tools wie Google Docs und auch Dropbox.

muo-security-slackhack-logo

Dies ist nicht die Art von Tool, die Sie normalerweise zu Hause verwenden werden, aber wenn Sie an einem Arbeitsplatz arbeiten, der ein hervorragendes Softwareprogramm für die Aufgabenverwaltung benötigt und beabsichtigen, die Kommunikation innerhalb des Teams viel effizienter zu gestalten, egal ob Ihre Mitarbeiter associate in einem Büro organisiert sind oder als verstreutes Team existieren (auch als virtuelle Gruppe bezeichnet, dh eine Gruppe, die aus weltweit verteilten Mitarbeitern besteht), dann ist Slack eine wunderbare Wahl.

Slack wird in Ihrem Webbrowser und zusätzlich als mobile Anwendung für iPhone und auch Android angeboten. Offizielle Desktop-Clients werden für Windows und auch Mac OS X angeboten, außerdem gibt es auch eine informelle Linux-Variante.

Die Slack-Sicherheitslücke

Slack könnte dank seiner aktuellen Version tatsächlich zu einem Ziel geworden sein 2,76 Milliarden US-Dollar Marktbewertung , zusammen mit der Information, dass 135.000 seiner 500.000 Kunden Kosten für die Nutzung der Lösung zahlen oder ihrerseits eine Gebühr von einem Unternehmen zahlen lassen.

Der Verstoß ereignete sich bereits im Februar sowie hat vier Tage gedauert Slack erzählt Der Rand „dass auf Datenquellen mit Gruppennachrichtenhintergrund im Rahmen des Verstoßes nicht zugegriffen wurde. Es wurden keine Rückzahlungsinformationen vorgelegt …“

Bemerkenswerterweise ist dies nicht das erste Mal, dass Slack aus Sicherheitsgründen mit heruntergelassenen Hosen erfasst wird. Im Oktober 2014 wurde ein Fehler gemeldet, der es nicht eingeloggten Besuchern der Site ermöglichte, die Namen von Netzwerken (Chatrooms) zu sehen, die von einer bestimmten Firma betrieben werden.

Da Teamnachrichten persönlich blieben (etwas, das Slack höchstwahrscheinlich viele bereits gestörte Kunden gerettet hat) lag der Fokus des Streiks auf Kundeninformationen, Punkten wie der E-Mail-Adresse, die für die Anmeldung verwendet wurde, und verschiedenen anderen Profilinformationen wie B. Slack-Benutzername, Telefonnummer, Kontodaten sowie Skype-Kontoname.

Was ist mit den Passwörtern?

Slack behauptet, dass durchgesickerte Passwörter von den Eindringlingen nicht gehackt würden, da es sich um „einweg-verschlüsselte (‚gehashte‘) Passwörter handelt.“

muo-security-slackhack-laptop2

Um besser zu diskutieren:

„Wir haben keine Anzeichen dafür, dass die Hacker gespeicherte Passwörter entschlüsseln konnten, da Slack eine einseitige Sicherheitsmethode namens Hashing verwendet.“

Es ist erwähnenswert, dass Slack die Angelegenheit effektiv verwaltet und auch keine Informationen über den Angriff veröffentlicht hat, bis sie tatsächlich mit den Betroffenen interagiert hatten. Wenn Sie also nicht mit Slack gesprochen haben, ist es unwahrscheinlich, dass Sie betroffen sind.

Die Tatsache, dass diese Passwörter gehasht sind, bedeutet jedoch nicht, dass sie mit den richtigen Tools nicht beschädigt werden können.

Schritte unternehmen, um Slack zu sichern

Um den Angriff zu bewältigen, präsentierte Slack 2 brandneue Funktionen. Die erste bestand darin, Managern einen universellen Reset-Schalter zu geben, sodass alle Benutzer eines bestimmten Teams ihre Passwörter zurücksetzen mussten. Dies wird sicherlich jede Art von unmittelbaren Sicherheitsproblemen abschwächen.

muo-security-slackhack-enable2fa

Langfristig liegt die Lösung jedoch zweifellos in der Zwei-Faktor-Verifikation, die aktuell zusätzlich von Slack vorgestellt wird. Um dies zu aktivieren, müssen Sie sich direkt in Ihrem Slack-Konto autorisieren, auf Ihre Bedingung in der unteren linken Ecke klicken und auch auswählen Ihr Profil > > Profil bearbeiten Wechseln Sie von unten zu Einstellungen ebenso gut wie Erhöhen, ansteigen das Zwei variable Authentifizierung Sektion.

Geben Sie Ihr aktuelles Slack-Passwort ein, klicken Sie auf das 2-Seiten-Authentifizierung aktivieren Schaltfläche, auf der Sie sicherlich Richtlinien zum Scannen eines Barcodes mit Ihrer ausgewählten Authentifikator-App sehen (die Screenshots unten stammen von Google Authenticator, Sie können jedoch zusätzlich verwenden Duo für Android oder iPhone , oder Windows Phone-Authentifikator .

Wechseln Sie als nächstes zur Authenticator-Anwendung auf Ihrem Mobiltelefon und verwenden Sie die Kontokonfigurationsalternative, um den Barcode zu scannen. Ein Bestätigungscode wird angezeigt, und Sie müssen diesen im Paket auf der Slack-Site eingeben, um die Zwei-Faktor-Authentifizierung zu aktivieren.

Beachten Sie, dass zusätzlich 10 Backup-Codes angezeigt werden, einfach in der Situation, dass Sie Ihr Mobiltelefon ablegen. Sollte dies passieren, verwenden Sie einen Backup-Code, um sich in Slack zu autorisieren.

Viel mehr Zwei-Faktor-Authentifizierung, bitte!

Slack sollte für die Geschwindigkeit und auch die Leistung bei der Verwaltung der Sicherheitsverletzung gelobt werden, wenn sie entdeckt wird. Während es im Februar stattfand, bestand das allererste Feedback der Firma darin, die betroffenen Kontoinhaber zu kontaktieren.

Es ist faszinierend, dass Slack bereits die Einführung der Zwei-Faktor-Authentifizierung plante, aber dieses Ereignis sagt uns nur, dass 2FA bereits für alle Online-Konten in der Nähe sein muss. Es macht einfach Sinn, auch wenn das gesamte Setup der Zwei-Faktor-Authentifizierung strukturiert sein könnte.

Waren Sie von der Slack-Verletzung betroffen? Sind Sie frustriert über das Fehlen einer Zwei-Faktor-Authentifizierung in den von Ihnen genutzten Diensten? Lassen Sie es uns wissen.

Bildnachweis: Axt hackt Brennholz über Shutterstock, Dame mit Laptop-Computer mit PlaceIt , JC713

Einfach Was ist Slack? Slack ist ein Kollaborationsgerät, das im Wesentlichen eine Sammlung von benutzerdefinierten Chatrooms ist, die das Teilen von Dokumenten und auch private Nachrichten ermöglichen. Slack wurde im August 2013 eingeführt und hatte innerhalb von 24 Stunden nach dem Start 8000 Anmeldungen angezogen. Da die Teamnachrichten persönlich blieben (etwas, das Slack möglicherweise viele derzeit verstörte Verbraucher bewahrte), lag der Schwerpunkt des Angriffs auf individuellen Details, wie der E-Mail-Adresse, die für die Anmeldung verwendet wurde, und verschiedenen anderen Kontodetails wie Slack-Benutzername, Telefon Nummer, Kontodaten und Skype-Kontoname. Verwenden Sie in diesem Fall einen Sicherungscode, um sich bei Slack anzumelden. Es ist faszinierend, dass Slack sich derzeit auf die Präsentation der Zwei-Faktor-Verifizierung vorbereitet, aber dieser Anlass sagt uns nur, dass 2FA derzeit für alle Internetkonten in Reichweite sein muss.

Klicken Sie, um diesen Beitrag zu bewerten!
[Gesamt: 0 Durchschnitt: 0]

Andere verwandte Artikel

Schreibe einen Kommentar