Slack comenzó a restablecer las contraseñas que se vieron afectadas durante la violación de datos de 2015
¿Puede una violación de datos que sucedió y se solucionó hace unos cuatro años afectar a las personas en este momento? La semana pasada, la popular colaboración laboral y el servicio de mensajería instantánea Slack nos mostraron que esto es realmente posible. Echemos un vistazo a cómo se desarrolló todo.
La violación de datos original
En marzo de 2015, Slack detectó el acceso no autorizado a su infraestructura y, después de una investigación, se dio cuenta de que los piratas informáticos habían robado una base de datos que contenía información del usuario. Los datos comprometidos incluían direcciones de correo electrónico, credenciales de inicio de sesión, así como detalles opcionales como números de teléfono e ID de Skype.
Las contraseñas expuestas habían sido codificadas con bcrypt, y para protección adicional, Slack había usado sales únicas, lo que significaba que los delincuentes no tenían muchas esperanzas de explotar esta parte de la base de datos. Sin embargo, un poco más de investigación reveló que los delincuentes también habían logrado inyectar código que interceptaba las contraseñas de texto sin formato cuando los usuarios las ingresaban.
Slack, que, según Statista , tenía alrededor de medio millón de usuarios activos en ese momento, sabía que había mucho en juego. Analizó el ataque, identificó un número relativamente pequeño de usuarios afectados y restableció sus contraseñas. Una publicación de blog le contó a todos lo que había sucedido, y el equipo de desarrollo de Slack incluso lanzó la autenticación de dos factores aproximadamente una semana antes de lo previsto en un esfuerzo por tranquilizar a las personas.
Eso, al parecer, era eso. Entonces llegó el jueves.
Slack recibe nueva información que podría estar relacionada con la violación de datos de 2015
El 18 de julio, ZDNet se enteró de que Slack se estaba preparando para enviar algunos correos electrónicos de restablecimiento de contraseña. Nada era oficial en ese momento, pero la información del medio de comunicación sugería que alrededor de 65 mil usuarios estaban a punto de restablecer sus contraseñas. ZDNet trató de ponerse en contacto con los desarrolladores de Slack, pero no recibió respuesta.
Unas horas más tarde, Slack explicó lo que estaba pasando. Fue contactado a través de su programa de recompensas de errores y se le dio una lista de credenciales de inicio de sesión que supuestamente pertenecían a algunos de sus usuarios. La publicación del blog dice que este tipo de cosas son más o menos una ocurrencia regular y que los datos enviados a través del programa de recompensas de errores a menudo consisten en credenciales de inicio de sesión que se roban de otros servicios y se reutilizan en Slack. Efectivamente, cuando el equipo de seguridad de la aplicación de mensajería analizó algunos de los datos, identificaron algunas contraseñas válidas y las restablecieron de inmediato.
Sin embargo, una investigación posterior reveló que "la mayoría" de las credenciales en la base de datos comprometida pertenecían a cuentas que estaban activas en el momento de la violación de datos de 2015. El personal de seguridad de Slack no señaló específicamente si la información que estaban viendo había sido robada hace tantos años de su backend. Sin embargo, decidieron no correr riesgos y restablecieron las contraseñas de aproximadamente el 1% de la base de usuarios actual de Slack. Esas son todas las cuentas que estaban activas en el momento de la violación de datos de 2015, con la excepción de las que usan Single Sign-On y las que han cambiado sus contraseñas después de marzo de 2015.
Nadie sabe a qué riesgo estuvieron expuestas las cuentas afectadas, pero es justo decir que el equipo de seguridad de Slack actuó por precaución e hizo lo correcto. Para el resto de nosotros, este incidente en particular puede enseñarnos cuán duraderos pueden ser los efectos de una violación de datos tanto en los usuarios habituales como en las empresas atacadas.
