Im März 2015 wurde der Business-Messaging-Dienst
Slack Opfer eines Hackerangriffs. Unbekannte erlangten damals Zugriff auf eine Datenbank mit Anwenderprofilen, inklusive User-Namen und gehashten Passwörtern. Dazu gelang es den Eindringlingen, ein Script einzuschleusen, das eingegebene Passwörter im Klartext offenlegte.
Wie das Slack-Team in einem
Blog-Beitrag bekanntgibt, wurden jetzt als Reaktion auf den damaligen Vorfall die Passwörter von rund einem Prozent der Accounts zurückgesetzt. Betroffen sind allerdings nur Accounts, die vor März 2015 erstellt wurden, bei denen seitdem nie das Passwort gewechselt wurde und die kein Single-Sign-on über einen SSO-Anbieter erfordern. Laut eigenen Angaben vom Januar verfügte Slack damals über 10 Millionen Anwender, womit von der aktuellen Massnahme gut 100'000 Anwender betroffen sein dürften.
Das Slack jetzt über vier Jahre nach dem Sicherheitsvorfall Massnahmen ergreift, ist auf Meldungen eines Bug-Bounty-Programm-Teilnehmers zurückzuführen, wonach immer noch kompromittierte Slack-Anmeldedaten im Umlauf seien. Nachdem verifiziert wurde, dass ein Teil dieser Credentials gültig war, wurden die Passwörter zurückgesetzt und die Benutzer informiert. Nach weiteren Untersuchungen sei man dann zum Schluss gekommen, "dass die Mehrheit dieser kompromittierten Anmeldedaten von Accounts stammten, die sich in Slack während des Sicherheitsvorfalls im Jahr 2015 angemeldet hatten", weshalb man jetzt die Passwörter der oben beschriebenen Accounts zurückgesetzt habe.
(rd)