Slack ha iniziato a reimpostare le password che sono state interessate durante la violazione dei dati del 2015

Una violazione dei dati verificatasi e risolta circa quattro anni fa può avere un impatto sulle persone in questo momento? La scorsa settimana, la popolare collaborazione di lavoro e il servizio di messaggistica istantanea Slack ci hanno mostrato che questo è davvero possibile. Diamo u occhiata a come è andato tutto.

La violazione dei dati originale

Nel marzo 2015, Slack ha rilevato un accesso non autorizzato alla sua infrastruttura e, dopo alcune indagini, si è reso conto che gli hacker avevano rubato un database contenente informazioni sugli utenti. I dati compromessi includevano indirizzi e-mail, credenziali di accesso, nonché dettagli opzionali come numeri di telefono e ID Skype.

Le password esposte erano state sottoposte a hash con bcrypt e, per ulteriore protezione, Slack aveva usato sali unici, il che significava che i criminali non avevano molte speranze di sfruttare questa parte del database. Alcuni altri approfondimenti hanno rivelato, tuttavia, che i truffatori erano anche riusciti a iniettare codice che intercettava le password in chiaro quando gli utenti le inserivano.

Slack, che, secondo Statista , aveva circa mezzo milione di utenti attivi al epoca, sapeva che la posta in gioco era alta. Ha analizzato attacco, identificato un numero relativamente piccolo di utenti interessati e ripristinato le loro password. Un post sul blog ha raccontato a tutti cosa era successo e il team di sviluppo di Slack ha persino lanciato u autenticazione a due fattori con una settimana di anticipo rispetto al programma, nel tentativo di mettere a riposo le menti delle persone.

Sembrava che fosse quello. Poi è arrivato giovedì.

Slack riceve nuove informazioni che potrebbero essere correlate alla violazione dei dati del 2015

Il 18 luglio, ZDNet ha appreso che Slack si stava preparando a inviare e-mail di reimpostazione della password. Al epoca nulla era ufficiale, ma le informazioni del punto vendita suggerivano che circa 65 mila utenti stavano per ripristinare le loro password. ZDNet ha provato a mettersi in contatto con gli sviluppatori di Slack ma non ha ricevuto risposta.

Alcune ore dopo, Slack spiegò cosa stava succedendo. È stato contattato tramite il suo programma di bug bounty e gli è stato fornito un elenco di credenziali di accesso che apparentemente appartenevano ad alcuni dei suoi utenti. Il post sul blog dice che questo genere di cose è più o meno un evento regolare e che i dati inviati attraverso il programma di ricompensa dei bug spesso sono costituiti da credenziali di accesso che vengono rubate da altri servizi e riutilizzate su Slack. Abbastanza sicuro, quando il team di sicurezza del applicazione di messaggistica ha analizzato alcuni dei dati, ha identificato alcune password valide e le ha ripristinate immediatamente.

Ulteriori indagini hanno rivelato, tuttavia, che "la maggior parte" delle credenziali nel database compromesso apparteneva ad account attivi al momento della violazione dei dati del 2015. Gli addetti alla sicurezza di Slack non hanno specificamente sottolineato se le informazioni che stavano guardando erano state rubate o meno dal loro backend molti anni fa. Decisero tuttavia di non correre rischi e resettarono le password di circa 1% del attuale base di utenti di Slack. Sono tutti account attivi al momento della violazione dei dati del 2015, ad eccezione di quelli che utilizzano Single Sign-On e quelli che hanno cambiato la password dopo marzo 2015.

Nessuno sa a che rischio sono stati esposti i conti interessati, ma è giusto dire che il team di sicurezza di Slack ha agito con molta cautela e ha fatto la cosa giusta. Per il resto di noi, questo particolare incidente può insegnarci quanto possono durare gli effetti di una violazione dei dati su utenti regolari e aziende attaccate.