Workplace bate-papo Slack app, popular entre West Coast descolados de inicialização, entre outros, foi invadido, seus criadores disseram hoje.
Vice-presidente Slack da política e da estratégia de cumprimento Anne Toth explicou como , durante um período de quatro dias, em fevereiro, os atacantes foram capazes de acessar um banco de dados contendo os nomes de conta, endereços de email, números de telefone, IDs Skype e hash de senhas de usuários Slack. A biz, fundada em 2013, só foi capaz de confirmar a intrusão "recentemente".
O serviço permite que os funcionários Slack para criar e gerenciar painéis de mensagens internas para projetos individuais e departamentos. Além de chats, os usuários podem compartilhar imagens, links e conteúdo de serviços como Twitter, Skype e Google Drive. Slack é uma startup com sede em San Francisco, e tem uma avaliação de US $ 1,2 bilhão.
Nenhuma informação financeira ou cartão de pagamento foi tocado pelos invasores de banco de dados, estamos disse. As mensagens e comunicações da equipe não se acredita que tenham sido acessados por a maioria dos usuários.
Toth disse que enquanto não havia nenhuma indicação os hackers foram capazes de quebrar as senhas hash, atividade suspeita foi flagrado em um pequeno número de contas - presumivelmente os que usam senhas fracas. Slack já notificou essas pessoas, e redefinir suas senhas.
"Uma vez que o sistema comprometido foi descoberto pela primeira vez, temos vindo a trabalhar 24 horas por dia para examinar metodicamente, reconstruir e testar cada componente do nosso sistema para garantir que é seguro", Toth disse em um e-mail para Slack clientes.
"Estamos colaborando com especialistas externos para confrontarão pressupostos e garantir que estamos meticuloso em nossa abordagem. Além disso, temos notificado a aplicação da lei deste intrusão ilegal."
Para todos os usuários, um conjunto de novas opções de segurança serão oferecidos. Contas Slack agora vai oferecer autenticação de dois fatores através dos aplicativos Google Authenticator e Duo Mobile.
As proteções de dois fatores permitirá que os usuários recebem um código de um tempo de uso em seu telefone móvel para entrar com outras credenciais da conta. Autenticação de dois fatores não será obrigatório, mas é altamente recomendado por Slack.
Além disso, Slack estará oferecendo os líderes de equipe um recurso de "kill switch password" para reiniciar automaticamente as senhas para cada membro da equipe. A opção seria rescindido automaticamente sessões de usuário e exigem nova uma nova senha para cada membro da equipe. ®
Nenhum comentário:
Postar um comentário