Как сообщает Roem.ru орпоративный мессенджер Slack в феврале 2015 года был взломан и несколько дней находился в руках злоумышленников. Они имели доступ к информации о пользователях Slack: к именам, email, номерам и прочим контактным данным, а также к хэшам паролей. Правда, об этом происшествии компания сообщила только вчера.
После инцидента более полутора месяцев проводились исследования и выяснялся масштаб, нанесенный хакерской атакой. Также за это время были разработаны дополнительные функции по обеспечению безопасности пользователей мессенджера: двухфакторная авторизация и Password Kill Switch.
В соответствии с принципом работы двухфакторной авторизации, пользователь теперь должен вводить при входе в систему не только пароль, но и специальный код подтверждения. Чтобы активировать эту функцию, нужно установить приложение Google Authenticator, Duo Mobile или Microsoft Authenticator.
Функция Password Kill Switch даст возможность участникам команд с правами администратора принудительно завершать сессии всех сотрудников с запросом смены пароля.
Шифрование паролей в Slack осуществляется с помощью односторонней хэш-функции bcrypt «с солью» (bcrypt with a randomly generated salt per-password). Считается, что восстановить пароль, сгенерированный такой функцией почти невозможно.
В письме, которое сотрудники Slack разослали пользователям говорится, что факт доступа злоумышленников к файлам и корпоративной переписке не установлен. Расследование продолжается, и компания обещает держать всех в курсе дальнейшего развития событий.
После инцидента более полутора месяцев проводились исследования и выяснялся масштаб, нанесенный хакерской атакой. Также за это время были разработаны дополнительные функции по обеспечению безопасности пользователей мессенджера: двухфакторная авторизация и Password Kill Switch.
В соответствии с принципом работы двухфакторной авторизации, пользователь теперь должен вводить при входе в систему не только пароль, но и специальный код подтверждения. Чтобы активировать эту функцию, нужно установить приложение Google Authenticator, Duo Mobile или Microsoft Authenticator.
Функция Password Kill Switch даст возможность участникам команд с правами администратора принудительно завершать сессии всех сотрудников с запросом смены пароля.
Шифрование паролей в Slack осуществляется с помощью односторонней хэш-функции bcrypt «с солью» (bcrypt with a randomly generated salt per-password). Считается, что восстановить пароль, сгенерированный такой функцией почти невозможно.
В письме, которое сотрудники Slack разослали пользователям говорится, что факт доступа злоумышленников к файлам и корпоративной переписке не установлен. Расследование продолжается, и компания обещает держать всех в курсе дальнейшего развития событий.
