شرکت Slack یک ایمیل هشدار «بازنشانی گذرواژه» به همهی کاربران خود که بعد از نفوذ سال ۲۰۱۵ میلادی این شرکت، گذرواژههای حسابهای Slack خود را تغییر ندادهاند، ارسال کرده است. در سال ۲۰۱۵ میلادی نفوذگران بهصورت غیرمجاز به یکی از پایگاهدادههای این شرکت که اطلاعات پروفایل کاربر ازجمله نام کاربری، آدرس های ایمیل و گذرواژههای هششده در آن ذخیره شده بود، دسترسی پیدا کردند.
در آن زمان، مهاجمان بهطور مخفیانه کد را وارد صفحهی ورود میکردند که به آنها اجازه میدهد تا در طول آن مدت زمان، گذرواژههای متن سادهی واردشده توسط برخی کاربران Slack را به دست آورند. بااینحال، بلافاصله پس از این حادثهی امنیتی، این شرکت بهطور خودکار گذرواژههای تعداد اندکی از کاربران Slack را که گذرواژههای متن سادهی آنها افشا شده بود، بازنشانی کرد، اما از سایر کاربران آسیبدیده خواست تا بهطور دستی گذرواژههای خود را تغییر دهند.
درحالحاضر، در آخرین بیانیهای که منتشر شده است، این شرکت بیان کرد که دربارهی فهرست جدیدی از ترکیبهای نام کاربری و گذرواژه که مطابق با گواهینامههای ورود کاربرانی است که گذرواژههای خود را پس از افشای اطلاعاتی سال ۲۰۱۵ میلادی تغییر نداده بودند، اطلاعاتی به دست آورده است. Slack بهتازگی از طریق برنامهی پاداش در ازای اشکال به اطلاعاتی دربارهی گواهینامههای Slack آسیبدیده دست یافته است. این شرکت بلافاصله تأیید کرد که بخشی از ترکیبهای آدرسهای ایمیل و گذرواژهها معتبر بودند و گذرواژههای آنها را بازنشانی کرد و اقدامات انجامشده را به کاربران آسیبدیده توضیح داد.
حادثهی امنیتی اخیر تنها کاربرانی را تحت تأثیر قرار میدهد که قبل از مارس ۲۰۱۵ میلادی یک حساب ایجاد کردند و از آن حادثه به بعد گذرواژهی خود را تغییر ندادند. این شرکت دقیقاً از منبع گواهینامههای متن سادهی افشاشدهی جدید آگاهی ندارد، اما بیان میکند که ممکن است ناشی از حملهی بدافزاری یا استفادهی مجدد از گذرواژه در سایر سرویسها باشد. همچنین ممکن است که برخیها با موفقیت گذرواژههای هششدهای را که در افشای اطلاعاتی سال ۲۰۱۵ میلادی افشا شده بودند، به دست آورده باشند.
در اواخر ماه گذشته، Slack یک اطلاعیهی جداگانه برای همهی کاربران آسیبدیده ارسال کرد و بدون ارائهی جزئیات بیشتر دربارهی افشای احتمالی گواهینامهها به آنها اطلاع داد، اما به نظر میرسد که بسیاری از کاربران این هشدار را نادیده گرفتند و بهطور داوطلبانه گذرواژههای خود را تغییر ندادند.
بنابراین، درحالحاضر Slack بهطور خودکار گذرواژههای حسابهای آسیبدیده را که حدود ۱ درصد از کل کاربران ثبتشده بودند و از سال ۲۰۱۵ میلادی بهروزرسانی نشده بودند، بازنشانی کرد و از آنها خواست تا با استفاده از این راهنما یک گذرواژهی جدید برای حساب خود تنظیم کنند. Slack به کاربران توصیه میکند که علاوهبر تغییر گذرواژههای خود، احراز هویت دو مرحلهای را برای حسابهای Slack خود فعال کنند، حتی درصورتیکه در معرض خطر قرار نگرفته و آسیبی ندیده باشند. Slack همچنان حادثهی امنیتی اخیر را بررسی میکند و قول داده است تا در اسرع وقت اطلاعات بیشتری را به اشتراک بگذارد.