Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット 5
ストーリー by headless
判明 部門より
判明 部門より
Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1%でパスワードをリセットすることを発表した(The Official Slack Blogの記事、
HackReadの記事、
The Registerの記事、
ZDNetの記事)。
2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。
今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。
パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。
2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。
今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。
パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。
メール来てた (スコア:1)
ユーザと Workspace 管理者宛にメールがあった。
新しいパスワードに付け直して完了。スマホは再ログインなしでそのまま使えた。
何年前の話だよ (スコア:0, 荒らし)
2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたじゃねえだろ。
んなこたぁ遅くても1ヶ月以内に出してこい。
今頃ふざけたこといってんじゃねーぞ。
一体 (スコア:0)
何がいいのか分からない。
LINEで駄目なん?
Re: (スコア:0)
LINEと比較してる時点で、Slackのメリットを理解できてないんじゃ・・・
そもそも両者は全く別の目的のサービスな訳で・・・
Re: (スコア:0)
使ってない人から見たらどっちもただのチャットソフトですよ