Używasz Slacka? Lepiej zmień hasło i włącz dwustopniowe uwierzytelnianie

03-04-2015, 11:17

Nieznani sprawcy uzyskali dostęp do bazy danych użytkowników serwisu Slack, który służy do zarządzania projektami i komunikacją w firmie. Na niektórych profilach odnotowano następnie podejrzane działania.

Administratorzy usługi Slack poinformowali na swoim blogu o nieautoryzowanym dostępie do bazy danych, z której atakujący mogli pozyskać podstawowe informacje o użytkownikach (podawane przez nich opcjonalnie podczas wypełniania profilu) oraz „solone” hashe haseł.

Co to konkretnie oznacza? Kodowanie haseł za pomocą jednostronnej funkcji skrótu, czyli hashowanie, jest dobrą metodą zabezpieczania tego typu danych. Trzeba jednak pamiętać, że funkcje hashujące są podatne na atak typu brute force, czyli sukcesywne sprawdzanie wszystkich możliwych kombinacji w poszukiwaniu właściwego hasła. Ponadto w sieci dostępne są tęczowe tablice (rainbow tables) zawierające miliony pregenerowanych hashy, które mogą wykorzystać atakujący. Żeby temu zapobiec, stosuje się „solenie”, czyli doklejanie do hasła - przed jego skróceniem - dodatkowego ciągu znaków, dzięki czemu wzrasta jego odporność na złamanie.     

Czy nie ma więc powodów do obaw? Niestety są. Według administratorów Slacka nieautoryzowany dostęp do bazy danych był możliwy przez cztery dni, a na kontach niektórych użytkowników zaobserwowano podejrzaną aktywność. W związku z tym serwis zdecydował się powiadomić wszystkich o incydencie i zachęcić do włączenia dwuskładnikowego uwierzytelniania. Poniżej można zobaczyć oryginalną wiadomość rozesłaną do użytkowników i jej częściowe tłumaczenie (aby powiększyć grafikę, wystarczy w nią kliknąć).

Wiadomość do użytkowników serwisu Slack(...) potwierdziliśmy ostatnio, że doszło do nieautoryzowanego dostępu do bazy danych Slacka zawierającej informacje profilowe użytkowników. Zablokowaliśmy ten nieautoryzowany dostęp i wprowadziliśmy dodatkowe zmiany w naszej infrastrukturze technicznej, aby zapobiec przyszłym incydentom. Wszystkie istotne szczegóły są dostępne na naszym blogu. Żadne specjalne działania z twojej strony nie są wymagane.

Udostępniliśmy jednak dwuskładnikowe uwierzytelnianie (2FA, znane również jako dwuetapowa weryfikacja) i zalecamy, aby wszyscy użytkownicy włączyli tę opcję, zapewniającą dodatkową warstwę ochrony dla konta. (...)

Od momentu wykrycia, że system jest zagrożony, pracowaliśmy 24 godziny na dobę, aby metodycznie zbadać, przebudować i przetestować każdy składnik naszego systemu, upewniając się co do jego bezpieczeństwa. Jesteśmy świadomi, że nasza usługa jest niezbędna dla wielu zespołów. Pozyskanie ich zaufania poprzez dostarczanie bezpiecznej usługi zawsze będzie naszym najwyższym priorytetem. Bardzo żałujemy, że doszło do tego incydentu i przepraszamy wszystkich, którzy opierają się na Slacku, za niedogodności. (...)”

Jeżeli korzystasz ze Slacka, nie sugeruj się informacją, że „żadne specjalne działania z twojej strony nie są wymagane” - w pierwszej kolejności zmień hasło. Aby to zrobić, po zalogowaniu się do swego konta poszukaj opcji Your Account i w nowo otwartym oknie, w zakładce Settings kliknij expand przy opcji Password. Postaraj się wymyślić mocne, nieszablonowe hasło. Jeżeli na innych stronach korzystałeś z takiego samego hasła, jak w Slacku, zmień je również.

Kolejnym krokiem powinno być włączenie dwuskładnikowego uwierzytelniania - w tym celu należy kliknąć expand przy opcji Two factor authentication. Po kliknięciu w przycisk Configure two factor authentication uzyskamy możliwość pobrania trzech aplikacji do wyboru (Google Authenticator, Duo Mobile, Windows Phone Authenticator). Po zainstalowaniu jednej z nich na swoim urządzeniu mobilnym należy dodać nową usługę, czyli Slack, klikając znak plusa.

Następnym krokiem będzie zeskanowanie widocznego na ekranie komputera kodu QR. Spowoduje to wyświetlenie się na smartfonie 6-cyfrowego kodu, który należy wpisać w przeglądarce i potwierdzić kliknięciem w przycisk Verify Code and Activate. Od tego momentu - logując się do Slacka - oprócz hasła będziemy musieli wpisywać także wygenerowany przez aplikację kod, co na pewno podniesie nasze bezpieczeństwo.

Czytaj także: Dwuskładnikowe uwierzytelnianie - co daje, w jakich usługach występuje i jak je włączyć


Źródło: Bitdefender
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy