Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1％でパスワードをリセットすることを発表した(The Official Slack Blogの記事、 HackReadの記事、 The Registerの記事、 ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。

英国夏時間19日深夜、ロンドン警視庁のWebサイトや公式Twitterアカウントにいたずらとみられる偽のプレスリリースなどが複数投稿された。また、ロンドン警視庁の電子メールアドレスから偽のプレスリリース公開を知らせる電子メールも送信されたという(ロンドン警視庁のプレスリリース、 Metro Newsの記事、 London Evening Standardの記事、 The Next Webの記事)。

当時のプレスリリースやツイートの一部はInternet Archiveにスナップショットが残されているが、偽のプレスリリースは本文がないか、見出しと同じ内容が記載されているだけのものが大半だ。適当にキーを押しただけのようなものもある。

これについてロンドン警視庁では、プレスリリースなどの発行に使用しているオンラインプロバイダーMyNewsDeskのアカウントでセキュリティ上の問題が発生したとみているそうだ。MyNewsDeskを通じて記事を発行するとロンドン警視庁のWebサイトとTwitterアカウントに表示され、電子メールが自動で生成されて送られる仕組みになっている。そのため、ロンドン警視庁のITインフラストラクチャーが「ハック」されたわけではないとのこと。

ロンドン警視庁は問題の発生を謝罪し、今後はMyNewsDeskへのアクセス手配を見直すと述べている。