Outil de collaboration en ligne populaire Slack a été violé, ce qui entraîne la fuite de 500 000 adresses e-mail et d'autres données de compte personnel. Bien que les mots de passe soient sécurisés, les utilisateurs sont encouragés à prendre des mesures.
Juste ce qui est Slack?
Slack est un outil de collaboration qui est essentiellement une collection de salons de discussion définis par l'utilisateur qui supporte le partage de fichiers et la messagerie privée. Slack a été lancé en août 2013 et a attiré 8000 inscriptions dans les 24 heures suivant le lancement. Idéal pour les petites équipes plutôt que pour les grands services, le service offre également une intégration avec d'autres outils, tels que Google Docs et Dropbox.
Ce n'est pas le genre d'outil que vous utiliserez habituellement dans la maison, mais si vous travaillez dans un bureau qui a besoin de bons logiciels pour la gestion de projet Comment utiliser Slack pour la gestion de projet avec ces simples conseils Comment utiliser Slack pour la gestion de projet Ces conseils simples Avec l'ensemble intelligent de fonctions de Slack et l'interface utilisateur sans distraction, la plate-forme peut se dédoubler comme un outil de gestion de projet pour vous. Apprenez à le configurer en tant qu'assistant personnel en ligne. En savoir plus et rendre la communication intra-équipe plus efficace Slack rend la communication de groupe plus rapide et plus facile Slack rend la communication de groupe plus rapide et plus facile Les e-mails de groupe peuvent vraiment tuer la productivité. Il est temps de mettre les clients de messagerie au repos et d'utiliser des services de collaboration comme Slack récemment lancé. Lire la suite, si vos collègues sont regroupés dans un bureau ou existent en tant qu'équipe distribuée (également connu sous le nom d'une équipe virtuelle, à savoir celle qui se compose de personnel situé autour de la planète), alors Slack est un excellent choix.
Slack est disponible dans votre navigateur et également en tant qu'application mobile pour iOS et Android. Les clients de bureau officiels sont disponibles pour Windows et Mac OS X, et il existe également une version Linux non officielle Linux-Loving Slack Users: Voici une application pour vous! Linux-Loving Slack Users: Voici une application pour vous! Obtenez un client Slack fonctionnel pour Ubuntu, complet avec des notifications et une icône indépendante. ScudCloud est le client Slack non officiel que les utilisateurs d'Ubuntu recherchent. Lire la suite .
La violation de sécurité Slack
Slack pourrait bien devenir une cible grâce à son évaluation récente du marché de 2, 76 milliards de dollars, ainsi que le fait que 135 000 de ses 500 000 utilisateurs paient des frais pour utiliser le service, ou ont des frais payés en leur nom par un employeur.
La violation est survenue en février et a duré quatre jours. Slack a déclaré à The Verge "que les bases de données contenant l'historique des messages de l'équipe n'ont pas été consultées dans le cadre de la violation. Aucune information de paiement n'a été exposée ... "
Fait intéressant, ce n'est pas la première fois que Slack a été attrapé avec son pantalon baissé, en matière de sécurité. En octobre 2014, un bug a été signalé qui permettait aux visiteurs non connectés au site d'afficher les noms des canaux (salons de discussion) utilisés par une entreprise en particulier.
Donc, avec les messages d'équipe restant confidentiels (quelque chose qui a probablement sauvé Slack beaucoup de clients déjà perturbés) l'attaque portait sur les détails de l'utilisateur, des choses comme l'adresse e-mail utilisée pour se connecter et d'autres informations de profil., les données de profil et le nom de compte Skype.
Qu'en est-il des mots de passe?
Slack maintient que tous les mots de passe qui ont fui ne seraient pas piratés par les intrus, car ils sont des mots de passe "unidirectionnels chiffrés" ("hashed"). "
Pour expliquer plus loin:
"Nous n'avons aucune indication que les pirates étaient capables de déchiffrer les mots de passe stockés, car Slack utilise une technique de chiffrement unidirectionnelle appelée hachage."
Il convient de noter que Slack a traité la question de manière efficace et n'a divulgué aucune information sur l'attaque avant d'avoir communiqué avec ceux qui étaient touchés. Donc, si vous n'avez pas entendu parler de Slack, il est peu probable que vous soyez touché.
Cependant, le fait que ces mots de passe soient hachés ne signifie pas qu'ils ne peuvent pas être brisés, avec les bons outils.
Prendre des mesures pour sécuriser Slack
Pour faire face à l'attaque, Slack a introduit deux nouvelles fonctionnalités. Le premier consistait à donner aux administrateurs un commutateur de réinitialisation universel, forçant ainsi tous les utilisateurs d'une équipe particulière à réinitialiser leurs mots de passe. Cela permettra d'atténuer les problèmes de sécurité immédiats.
À long terme, cependant, la réponse peut sans doute être trouvée dans l'authentification à deux facteurs. Qu'est-ce que l'authentification à deux facteurs? Pourquoi l'utiliser? Qu'est-ce que l'authentification à deux facteurs? Pourquoi utiliser l'authentification à deux facteurs? est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite, qui a également été maintenant introduit par Slack. Pour l'activer, vous devez vous connecter à votre compte Slack, cliquer sur votre statut dans le coin inférieur gauche et sélectionner Votre profil> Modifier le profil . De là, passez à Paramètres et développez la section Authentification à deux facteurs .
Ajoutez votre mot de passe Slack actuel, cliquez sur le bouton Activer l'authentification à deux facteurs, où vous verrez les instructions pour scanner un code à barres avec l'application d'authentification choisie (les captures d'écran ci-dessous proviennent de Google Authenticator, mais vous pouvez également utiliser Duo pour Android ou iPhone ou Windows Phone Authenticator).
Ensuite, passez à l'application d'authentification sur votre smartphone et utilisez l'option de configuration du compte pour scanner le code à barres. Un code de vérification s'affichera et vous devrez l'entrer dans la case du site Web Slack pour activer l'authentification à deux facteurs.
Notez que dix codes de sauvegarde seront également affichés, juste au cas où vous perdiez votre smartphone. Si cela se produit, utilisez un code de secours pour vous connecter à Slack.
Plus d'authentification à deux facteurs, s'il vous plaît!
Slack devrait être félicité pour leur rapidité et l'efficacité dans le traitement de la violation, une fois découvert. Bien que cela ait eu lieu en février, la première réponse de la société a été de contacter les titulaires de comptes concernés.
Il est intéressant de noter que Slack envisageait déjà d'introduire une authentification à deux facteurs, mais tout ce que cet événement nous dit, c'est que 2FA devrait déjà être en place, pour tous les comptes en ligne. Cela prend tout son sens, même si la configuration de l'authentification à deux facteurs peut être simplifiée. La validation en deux étapes peut-elle être moins irritante? Quatre piratages secrets garantis pour améliorer la sécurité La vérification en deux étapes peut-elle être moins irritante? Quatre secrets Hacks garantis pour améliorer la sécurité Voulez-vous la sécurité des comptes pare-balles? Je suggère fortement d'activer ce que l'on appelle l'authentification «à deux facteurs». Lire la suite .
Avez-vous été affecté par la brèche Slack? Êtes-vous frustré par l'absence d'authentification à deux facteurs dans les services que vous utilisez? Laissez nous savoir.
Crédit d'image: Axe coupe du bois de chauffage Via Shutterstock, Femme avec un ordinateur portable via PlaceIt, JC713