Slack & Hack: che cosa è necessario sapere sulla violazione della sicurezza dello strumento di collaborazione

L'app di comunicazione popolare Slack è stata violata; le password sono considerate sicure, ma gli utenti sono incoraggiati a prendere provvedimenti.

L'app di comunicazione popolare Slack è stata violata;  le password sono considerate sicure, ma gli utenti sono incoraggiati a prendere provvedimenti.
Annuncio pubblicitario

Popolare strumento di collaborazione online Slack è stato violato, con la conseguente perdita di 500.000 indirizzi e-mail e altri dati personali dell'account. Mentre le password sono rimaste sicure, gli utenti sono incoraggiati a prendere provvedimenti.

Che cos'È Slack?

Slack è uno strumento di collaborazione che è essenzialmente una raccolta di chat room definite dall'utente che supportano la condivisione di file e la messaggistica privata, Slack è stato lanciato nell'agosto 2013 e in 24 ore dal lancio ha attratto 8000 iscrizioni. Ideale per team più piccoli piuttosto che per reparti di grandi dimensioni, il servizio offre anche l'integrazione con altri strumenti, come Google Docs e Dropbox.

muo-sicurezza-slackhack-logo

Questo non è il tipo di strumento che userai di solito in giro per casa, ma se lavori in un ufficio che ha bisogno di un buon software per la gestione dei progetti Come usare Slack per la gestione dei progetti con questi semplici consigli Come usare Slack per la gestione dei progetti Con Questi semplici consigli con l'intelligente set di funzioni di Slack e l'interfaccia utente priva di distrazioni, la piattaforma può raddoppiare come strumento di gestione dei progetti per te. Scopri come configurarlo come assistente personale online. Leggi di più e vuoi rendere più efficace la comunicazione all'interno del team Slack rende la comunicazione di gruppo più veloce e facile La comunicazione di gruppo più veloce e più facile Le email di gruppo possono davvero uccidere la produttività. È tempo di riposare i client di posta e utilizzare i servizi di collaborazione come Slack lanciato di recente. Per saperne di più, se i tuoi colleghi sono raggruppati in un ufficio o esistono come un team distribuito (noto anche come un team virtuale, ovvero uno che comprende personale situato in tutto il mondo), allora Slack è un'ottima scelta.

Slack è disponibile nel tuo browser e anche come app mobile per iOS e Android. I client desktop ufficiali sono disponibili per Windows e Mac OS X, e c'è anche una versione Linux non ufficiale Linux-Loving Slack Users: Ecco un'app per te! Utenti rilassanti amanti di Linux: ecco un'app per te! Ottieni un client Slack funzionante per Ubuntu, completo di notifiche e un'icona indipendente. ScudCloud è il client Slack non ufficiale che gli utenti di Ubuntu stavano cercando. Leggi di più .

La violenta violazione della sicurezza

Slack potrebbe essere diventato un bersaglio grazie alla sua recente valutazione di mercato di $ 2, 76 miliardi, così come la notizia che 135.000 dei suoi 500.000 utenti pagano una commissione per utilizzare il servizio, o hanno una tassa pagata per conto di un datore di lavoro.

La violazione avvenne a febbraio e durò quattro giorni. Slack ha detto The Verge "che i database contenenti la cronologia dei messaggi del team non erano accessibili come parte della violazione. Nessuna informazione di pagamento è stata esposta ... "

È interessante notare che questa non è la prima volta che Slack viene catturato con i pantaloni abbassati, per quanto riguarda la sicurezza. Nell'ottobre 2014 è stato segnalato un bug che consentiva ai visitatori non registrati del sito di visualizzare i nomi dei canali (chat room) in uso da una determinata azienda.

Quindi, con i messaggi di squadra rimanenti riservati (qualcosa che probabilmente ha risparmiato molti clienti già perturbati), l'attenzione si è concentrata sui dettagli dell'utente, cose come l'indirizzo email utilizzato per l'accesso e altre informazioni sul profilo come il nome utente Slack, il numero di telefono, dati del profilo e nome dell'account Skype.

Che dire delle password?

Slack sostiene che qualsiasi password trapelata non sarebbe stata hackerata dagli intrusi, grazie alla loro "password crittografata a una via (" hash ")".

muo-sicurezza-slackhack-laptop2

Per spiegare ulteriormente:

"Non abbiamo alcuna indicazione che gli hacker siano stati in grado di decodificare le password memorizzate, poiché Slack utilizza una tecnica di crittografia unidirezionale chiamata hashing".

Vale la pena notare che Slack ha affrontato la questione in modo efficiente e non ha rilasciato alcuna informazione sull'attacco finché non hanno comunicato con coloro che ne sono stati colpiti. Quindi, se non hai sentito parlare di Slack, è improbabile che tu ne risenta.

Tuttavia, il fatto che tali password siano hash non significa che non possano essere infranti, con gli strumenti giusti.

Prendendo le misure per assicurare il gioco

Per affrontare l'attacco, Slack ha introdotto due nuove funzionalità. Il primo era di fornire agli amministratori un interruttore di ripristino universale, forzando così tutti gli utenti di un particolare team a reimpostare le proprie password. In questo modo si attenueranno eventuali problemi di sicurezza immediati.

muo-sicurezza-slackhack-enable2fa

A lungo termine, tuttavia, la risposta può senza dubbio essere trovata nell'autenticazione a due fattori Qual è l'autenticazione a due fattori, e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti usarla Autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con carta di credito non richiede solo la carta, ... Leggi altro, che è stato introdotto anche da Slack. Per attivarlo, devi accedere al tuo account Slack, fare clic sul tuo stato nell'angolo in basso a sinistra e selezionare il tuo profilo> Modifica profilo . Da qui, passare a Impostazioni e espandere la sezione Autenticazione a due fattori .

Aggiungi la tua Slack password corrente, fai clic sul pulsante Attiva autenticazione a due fattori, dove vedrai le istruzioni per la scansione di un codice a barre con l'app autenticatore prescelta (le schermate qui sotto sono di Google Authenticator, ma puoi anche usare Duo per Android o iPhone o Windows Phone Autenticatore).

Quindi, passare all'app di autenticazione sullo smartphone e utilizzare l'opzione di configurazione dell'account per eseguire la scansione del codice a barre. Verrà visualizzato un codice di verifica e sarà necessario inserirlo nella casella sul sito Web Slack per attivare l'autenticazione a due fattori.

Notare che verranno visualizzati anche dieci codici di backup, nel caso in cui si perda lo smartphone. In tal caso, utilizzare un codice di backup per accedere a Slack.

Più due fattori di autenticazione, per favore!

Il gioco dovrebbe essere lodato per la loro velocità ed efficienza nell'affrontare la violazione, una volta scoperto. Mentre si è verificato a febbraio, la prima risposta dell'azienda è stata contattare i titolari degli account interessati.

È interessante notare che Slack stava già pianificando l'introduzione dell'autenticazione a due fattori, ma tutto questo ci dice in realtà che 2FA dovrebbe essere già presente, per tutti gli account online. È semplicemente logico, anche se l'intera configurazione dell'autenticazione a due fattori può essere semplificata. La verifica in due passaggi può essere meno irritante? Quattro attacchi segreti garantiti per migliorare la sicurezza La verifica in due passaggi può essere meno irritante? Quattro segreti hacker garantiti per migliorare la sicurezza Volete la sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare la cosiddetta autenticazione "a due fattori". Leggi di più .

Eri interessato dalla rottura Slack? Sei frustrato dalla mancanza dell'autenticazione a due fattori nei servizi che utilizzi? Facci sapere.

Immagine di credito: Ascia tagliere legna da ardere Via Shutterstock, Donna con laptop tramite PlaceIt, JC713

In this article