A popular ferramenta de colaboração on-line Slack foi violada, resultando em 500.000 endereços de e-mail e outros dados de contas pessoais sendo vazados. Enquanto as senhas permaneceram seguras, os usuários são encorajados a tomar medidas.
Apenas o que é folga?
O Slack é uma ferramenta de colaboração que é essencialmente uma coleção de salas de chat definidas pelo usuário que suporta compartilhamento de arquivos e mensagens privadas, o Slack foi lançado em agosto de 2013 e 24 horas após o lançamento atraiu 8000 inscrições. Ideal para equipes menores em vez de grandes departamentos, o serviço também oferece integração com outras ferramentas, como o Google Docs e o Dropbox.
Este não é o tipo de ferramenta que você normalmente usa em casa, mas se você trabalha em um escritório que precisa de um bom software para gerenciamento de projetos Como usar o Slack para gerenciamento de projetos com essas dicas simples Como usar o Slack para gerenciamento de projetos com Essas dicas simples Com o conjunto inteligente de recursos do Slack e a interface de usuário livre de distrações, a plataforma pode ser uma ferramenta de gerenciamento de projetos para você. Aprenda a configurá-lo como seu assistente pessoal on-line. Leia mais e quer tornar a comunicação dentro da equipe mais eficaz O Slack torna a comunicação do grupo mais rápida e fácil O Slack torna a comunicação do grupo mais rápida e fácil Os e-mails do grupo podem realmente prejudicar a produtividade. É hora de colocar os clientes de email para descansar e usar serviços de colaboração como o Slack recém-lançado. Leia Mais, quer seus colegas estejam agrupados em um escritório ou existam como uma equipe distribuída (também conhecida como equipe virtual, ou seja, uma que consiste em pessoas situadas ao redor do planeta), então o Slack é uma ótima escolha.
O Slack está disponível no seu navegador e também como um aplicativo para dispositivos móveis para iOS e Android. Os clientes oficiais de desktop estão disponíveis para Windows e Mac OS X, e há também uma versão Linux não oficial de Linux Slack-Loving Slack Users: Aqui está um aplicativo para você! Usuários com folga que gostam de Linux: aqui está um aplicativo para você! Obtenha um cliente Slack funcional para o Ubuntu, completo com notificações e um ícone independente. O ScudCloud é o cliente não-oficial do Slack que os usuários do Ubuntu estão procurando. Consulte Mais informação .
A quebra de segurança de folga
O Slack pode muito bem ter se tornado um alvo graças à sua recente avaliação de mercado de US $ 2, 76 bilhões, bem como à notícia de que 135.000 de seus 500.000 usuários pagam uma taxa para usar o serviço, ou pagam uma taxa em seu nome por um empregador.
A violação ocorreu em fevereiro e durou quatro dias. Slack disse ao The Verge “que os bancos de dados que contêm o histórico de mensagens da equipe não foram acessados como parte da violação. Nenhuma informação de pagamento foi exposta ... ”
Curiosamente, esta não é a primeira vez que Slack foi pego com suas calças para baixo, em termos de segurança. Em outubro de 2014, foi relatado um bug que permitia que visitantes não logados no site visualizassem os nomes de canais (salas de bate-papo) em uso por uma determinada empresa.
Assim, com as mensagens da equipe permanecendo confidenciais (algo que provavelmente salvou o Slack de muitos clientes já perturbados), o foco do ataque estava nos detalhes do usuário, como o endereço de e-mail usado para fazer login e outras informações de perfil, como nome de usuário do Slack e número de telefone., dados do perfil e nome da conta do Skype.
O que sobre as senhas?
Slack afirma que as senhas vazadas não serão hackeadas pelos intrusos, graças a elas serem “senhas criptografadas unidirecionais ('hash')”.
Para explicar mais:
"Não temos indicação de que os hackers pudessem descriptografar senhas armazenadas, já que o Slack usa uma técnica de criptografia unidirecional chamada hashing".
Vale a pena notar que o Slack lidou com o assunto de maneira eficiente, e não divulgou nenhuma informação sobre o ataque até que ele tenha se comunicado com aqueles que foram afetados. Então, se você não ouviu falar do Slack, é improvável que você seja impactado.
No entanto, o fato de essas senhas serem codificadas não significa que elas não possam ser quebradas, com as ferramentas certas.
Tomando medidas para garantir o folga
Para lidar com o ataque, Slack introduziu dois novos recursos. A primeira era dar aos administradores um switch de redefinição universal, forçando todos os usuários de uma determinada equipe a redefinir suas senhas. Isso reduzirá quaisquer preocupações imediatas de segurança.
No entanto, a longo prazo, a resposta pode ser encontrada na autenticação de dois fatores O que é autenticação de dois fatores e por que você deve usá-la O que é autenticação de dois fatores e por que você deve usá-la Autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagando com um cartão de crédito não só requer o cartão, ... Leia mais, que também foi introduzido pelo Slack. Para ativar isso, você deve entrar em sua conta do Slack, clicar em seu status no canto inferior esquerdo e selecionar Seu perfil> Editar perfil . A partir daqui, mude para Configurações e Expanda a seção Autenticação de dois fatores .
Adicione sua senha atual do Slack, clique no botão Ativar autenticação de dois fatores, onde você verá instruções para digitalizar um código de barras com o aplicativo do autenticador escolhido (as capturas abaixo são do Google Authenticator, mas você também pode usar o Duo para Android ou iPhone ou Windows Phone Autenticador).
Em seguida, mude para o aplicativo autenticador em seu smartphone e use a opção de configuração de conta para digitalizar o código de barras. Um código de verificação será exibido e você precisará inseri-lo na caixa no site do Slack para ativar a autenticação de dois fatores.
Observe que dez códigos de backup também serão exibidos, caso você perca seu smartphone. Caso isso aconteça, use um código de backup para entrar no Slack.
Mais dois fatores de autenticação, por favor!
A folga deve ser elogiada por sua rapidez e eficiência ao lidar com a violação, uma vez descoberta. Embora tenha ocorrido em fevereiro, a primeira resposta da empresa foi contatar os correntistas afetados.
É interessante que o Slack já estava planejando introduzir autenticação de dois fatores, mas todo esse evento realmente nos diz que o 2FA já deve estar no lugar, para todas as contas online. Simplesmente faz sentido, mesmo que toda a configuração de autenticação de dois fatores possa ser simplificada. A verificação em duas etapas pode ser menos irritante? Quatro ataques secretos garantidos para melhorar a segurança A verificação em duas etapas pode ser menos irritante? Quatro ataques secretos garantidos para melhorar a segurança Você quer segurança de conta à prova de bala? Eu sugiro habilitar o que é chamado de autenticação "de dois fatores". Consulte Mais informação .
Você foi afetado pela violação do Slack? Você está frustrado com a falta de autenticação de dois fatores nos serviços que você usa? Nos informe.
Crédito da imagem: Axe corta lenha via Shutterstock, mulher com laptop via PlaceIt, JC713