شرکت Slack گذرواژه‌های کاربرانی را که بعد از افشای سال ۲۰۱۵ میلادی آن را تغییر نداده‌اند، بازنشانی کرد

شرکت Slack یک ایمیل هشدار «بازنشانی گذرواژه» به همه‌ی کاربران خود که بعد از نفوذ سال ۲۰۱۵ میلادی این شرکت، گذرواژه‌های حساب‌های Slack خود را تغییر نداده‌اند، ارسال کرده است. در سال ۲۰۱۵ میلادی نفوذگران به‌صورت غیرمجاز به یکی از پایگاه‌داده‌های این شرکت که اطلاعات پروفایل کاربر ازجمله نام کاربری، آدرس های ایمیل و گذرواژه‌های هش‌شده در آن ذخیره شده بود، دسترسی پیدا کردند.

در آن زمان، مهاجمان به‌طور مخفیانه کد را وارد صفحه‌ی ورود می‌کردند که به آن‌ها اجازه می‌دهد تا در طول آن مدت زمان، گذرواژه‌های متن ساده‌ی واردشده توسط برخی کاربران Slack را به دست آورند. بااین‌حال، بلافاصله پس از این حادثه‌ی امنیتی، این شرکت به‌طور خودکار گذرواژه‌های تعداد اندکی از کاربران Slack را که گذرواژه‌های متن ساده‌ی آن‌ها افشا شده بود، بازنشانی کرد، اما از سایر کاربران آسیب‌دیده خواست تا به‌طور دستی گذرواژه‌های خود را تغییر دهند.

درحال‌حاضر، در آخرین بیانیه‌ای که منتشر شده است، این شرکت بیان کرد که درباره‌ی فهرست جدیدی از ترکیب‌های نام کاربری و گذرواژه که مطابق با گواهی‌نامه‌های ورود کاربرانی است که گذرواژه‌های خود را پس از افشای اطلاعاتی سال ۲۰۱۵ میلادی تغییر نداده بودند، اطلاعاتی به دست آورده است. Slack به‌تازگی از طریق برنامه‌ی پاداش در ازای اشکال به اطلاعاتی درباره‌ی گواهی‌نامه‌های Slack آسیب‌دیده دست یافته است. این شرکت بلافاصله تأیید کرد که بخشی از ترکیب‌های آدرس‌های ایمیل و گذرواژه‌ها معتبر بودند و گذرواژه‌های آن‌ها را بازنشانی کرد و اقدامات انجام‌شده را به کاربران آسیب‌دیده توضیح داد.

حادثه‌ی امنیتی اخیر تنها کاربرانی را تحت تأثیر قرار می‌دهد که قبل از مارس ۲۰۱۵ میلادی یک حساب ایجاد کردند و از آن حادثه به بعد گذرواژه‌ی خود را تغییر ندادند. این شرکت دقیقاً از منبع گواهی‌نامه‌های متن ساده‌ی افشاشده‌ی جدید آگاهی ندارد، اما بیان می‌کند که ممکن است ناشی از حمله‌ی بدافزاری یا استفاده‌ی مجدد از گذرواژه در سایر سرویس‌ها باشد. همچنین ممکن است که برخی‌ها با موفقیت گذرواژه‌های هش‌شده‌ای را که در افشای اطلاعاتی سال ۲۰۱۵ میلادی افشا شده بودند، به دست آورده باشند.

در اواخر ماه گذشته، Slack یک اطلاعیه‌ی جداگانه برای همه‌ی کاربران آسیب‌دیده ارسال کرد و بدون ارائه‌ی جزئیات بیشتر درباره‌ی افشای احتمالی گواهی‌نامه‌ها به آن‌ها اطلاع داد، اما به نظر می‌رسد که بسیاری از کاربران این هشدار را نادیده گرفتند و به‌طور داوطلبانه گذرواژه‌های خود را تغییر ندادند.

بنابراین، درحال‌حاضر Slack به‌طور خودکار گذرواژه‌های حساب‌های آسیب‌دیده را که حدود ۱ درصد از کل کاربران ثبت‌شده بودند و از سال ۲۰۱۵ میلادی به‌روزرسانی نشده بودند، بازنشانی کرد و از آن‌ها خواست تا با استفاده از این راهنما یک گذرواژه‌ی جدید برای حساب خود تنظیم کنند. Slack به کاربران توصیه می‌کند که علاوه‌بر تغییر گذرواژه‌های خود، احراز هویت دو مرحله‌ای را برای حساب‌های Slack خود فعال کنند، حتی درصورتی‌که در معرض خطر قرار نگرفته و آسیبی ندیده باشند. Slack همچنان حادثه‌ی امنیتی اخیر را بررسی می‌کند و قول داده است تا در اسرع وقت اطلاعات بیشتری را به اشتراک بگذارد.

منبع

پست‌های مشابه

Leave a Comment