Το δημοφιλές εργαλείο ηλεκτρονικής συνεργασίας Slack παραβιάστηκε, με αποτέλεσμα 500.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου και άλλα δεδομένα προσωπικών λογαριασμών να διαρρεύσουν. Ενώ οι κωδικοί πρόσβασης παρέμειναν ασφαλείς, οι χρήστες ενθαρρύνονται να λάβουν μέτρα.
Ακριβώς τι είναι χαλαρό;
Το Slack είναι ένα εργαλείο συνεργασίας που ουσιαστικά είναι μια συλλογή από καθορισμένες από το χρήστη αίθουσες συζητήσεων που υποστηρίζουν την κοινή χρήση αρχείων και την ιδιωτική αποστολή μηνυμάτων, το Slack ξεκίνησε τον Αύγουστο του 2013 και μέσα σε 24 ώρες από την έναρξη είχε προσελκύσει 8000 εγγραφές. Ιδανικό για μικρές ομάδες και όχι για μεγάλα τμήματα, η υπηρεσία προσφέρει επίσης ενοποίηση με άλλα εργαλεία, όπως τα Έγγραφα Google και το Dropbox.
Αυτό δεν είναι το είδος του εργαλείου που θα χρησιμοποιήσετε συνήθως γύρω από το σπίτι, αλλά αν εργάζεστε σε ένα γραφείο που χρειάζεται καλό λογισμικό για τη διαχείριση του έργου Πώς να χρησιμοποιήσετε το Slack για τη διαχείριση του έργου με αυτές τις απλές συμβουλές Πώς να χρησιμοποιήσετε το Slack για το Project Management Με Αυτές οι απλές συμβουλές Με το έξυπνο σύνολο των δυνατοτήτων του Slack και τη διασύνδεση χρήστη χωρίς τη διάσπαση της προσοχής, η πλατφόρμα μπορεί να διπλασιαστεί ως εργαλείο διαχείρισης έργου για εσάς. Μάθετε πώς να το ορίσετε ως προσωπικός σας βοηθός στο διαδίκτυο. Διαβάστε περισσότερα και θέλετε να κάνετε την επικοινωνία εντός της ομάδας πιο αποτελεσματική Slack Κάνει την επικοινωνία της ομάδας γρηγορότερη και ευκολότερη Χαλάρωση κάνει την επικοινωνία της ομάδας Ταχύτερη και ευκολότερη Ομαδικά μηνύματα ηλεκτρονικού ταχυδρομείου μπορούν πραγματικά να σκοτώσουν την παραγωγικότητα. Ήρθε η ώρα να βάλουμε τους πελάτες αλληλογραφίας να ξεκουραστούν και να χρησιμοποιήσουν υπηρεσίες συνεργασίας όπως το πρόσφατα ξεκίνημα Slack. Διαβάστε περισσότερα, αν οι συνάδελφοί σας είναι ομαδοποιημένοι σε ένα γραφείο ή υπάρχουν ως διανεμημένη ομάδα (επίσης γνωστή ως εικονική ομάδα, δηλαδή που αποτελείται από προσωπικό που βρίσκεται γύρω από τον πλανήτη), τότε η Slack είναι μια εξαιρετική επιλογή.
Το Slack είναι διαθέσιμο στο πρόγραμμα περιήγησης και επίσης ως εφαρμογή για κινητά για iOS και Android. Επίσημοι υπολογιστές-πελάτες είναι διαθέσιμοι για Windows και Mac OS X, ενώ υπάρχει και μια ανεπίσημη έκδοση Linux Linux-Loving Slack Users: Εδώ είναι μια εφαρμογή για εσάς! Linux-Loving Slack χρήστες: Εδώ είναι μια εφαρμογή για σας! Πάρτε ένα λειτουργικό Slack client για το Ubuntu, συμπληρώνοντας τις ειδοποιήσεις και ένα ανεξάρτητο εικονίδιο. Το ScudCloud είναι ο ανεπίσημος χρήστης του Slack που έχουν βρει οι χρήστες του Ubuntu. Διαβάστε περισσότερα .
Η χαλαρή παραβίαση ασφαλείας
Η χαλάρωση μπορεί να γίνει ένας στόχος χάρη στην πρόσφατη αξιολόγηση αγοράς της τάξης των 2, 76 δισ. Δολαρίων, καθώς και στην είδηση ότι 135.000 από τους 500.000 χρήστες της καταβάλλουν τέλος για να χρησιμοποιήσουν την υπηρεσία ή έχουν καταβάλει για λογαριασμό τους έναν εργοδότη.
Η παραβίαση συνέβη τον Φεβρουάριο και διήρκεσε τέσσερις ημέρες. Slack είπε στο The Verge "ότι οι βάσεις δεδομένων που περιέχουν το ιστορικό μηνυμάτων της ομάδας δεν είχαν πρόσβαση ως μέρος της παραβίασης. Δεν έχουν εκτεθεί πληροφορίες πληρωμής ... "
Είναι ενδιαφέρον ότι δεν είναι η πρώτη φορά που η Slack έχει πιαστεί με τα παντελόνια κάτω, ασφαλή. Τον Οκτώβριο του 2014 αναφέρθηκε ένα σφάλμα που επέτρεψε σε μη εγγεγραμμένους επισκέπτες του ιστότοπου να δουν τα ονόματα των καναλιών (αίθουσες συνομιλίας) που χρησιμοποιεί μια συγκεκριμένη εταιρεία.
Έτσι, με τα μηνύματα της ομάδας που παραμένουν εμπιστευτικά (κάτι που πιθανώς έσωσε τους Slack πολλούς ήδη προβληματικούς πελάτες), το επίκεντρο της επίθεσης ήταν οι λεπτομέρειες των χρηστών, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για την εγγραφή και άλλες πληροφορίες προφίλ όπως το Slack username, , δεδομένα προφίλ και όνομα λογαριασμού Skype.
Τι γίνεται με τους κωδικούς πρόσβασης;
Το Slack υποστηρίζει ότι οι διαρροές κωδικών πρόσβασης δεν θα χάνονται από τους εισβολείς, χάρη σε τους κωδικούς πρόσβασης "κρυπτογραφημένους" ("ξεχασμένους").
Για να εξηγήσετε περαιτέρω:
"Δεν έχουμε ένδειξη ότι οι χάκερς ήταν σε θέση να αποκρυπτογραφήσουν αποθηκευμένους κωδικούς πρόσβασης, καθώς η Slack χρησιμοποιεί μια τεχνική κρυπτογράφησης μονής κατεύθυνσης που ονομάζεται hashing."
Αξίζει να σημειωθεί ότι η Slack αντιμετώπισε αποτελεσματικά το ζήτημα και δεν έδωσε καμία πληροφορία σχετικά με την επίθεση μέχρις ότου είχαν επικοινωνήσει με εκείνους που επλήγησαν. Έτσι, αν δεν έχετε ακούσει από το Slack, τότε είναι απίθανο να επηρεαστείτε.
Ωστόσο, το γεγονός ότι αυτοί οι κωδικοί πρόσβασης έχουν κατακερματιστεί δεν σημαίνει ότι δεν μπορούν να σπάσουν με τα σωστά εργαλεία.
Λήψη βημάτων για την εξασφάλιση χαλαρότητας
Για να αντιμετωπίσει την επίθεση, η Slack εισήγαγε δύο νέα χαρακτηριστικά. Το πρώτο ήταν να δοθεί στους διαχειριστές ένα διακόπτη καθολικής επαναφοράς, αναγκάζοντας έτσι όλους τους χρήστες κάτω από μια συγκεκριμένη ομάδα να επαναφέρουν τους κωδικούς τους. Κάτι τέτοιο θα μετριάσει κάθε άμεση ανησυχία για την ασφάλεια.
Μακροπρόθεσμα, ωστόσο, η απάντηση μπορεί χωρίς αμφιβολία να βρεθεί σε έλεγχο ταυτότητας δύο παραγόντων Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι μια μέθοδος ασφαλείας που απαιτεί δύο διαφορετικούς τρόπους απόδειξης της ταυτότητάς σας. Χρησιμοποιείται συνήθως στην καθημερινή ζωή. Για παράδειγμα, η πληρωμή με πιστωτική κάρτα απαιτεί όχι μόνο την κάρτα, ... Διαβάστε περισσότερα, η οποία έχει επίσης εισαχθεί από την Slack. Για να το ενεργοποιήσετε, θα πρέπει να συνδεθείτε στον λογαριασμό σας Slack, να κάνετε κλικ στην κατάστασή σας στην κάτω αριστερή γωνία και να επιλέξετε Το προφίλ σας> Επεξεργασία προφίλ . Από εδώ, μεταβείτε στις Ρυθμίσεις και επεκτείνετε την ενότητα Ταυτότητα δύο παραγόντων .
Προσθέστε τον τρέχοντα κωδικό πρόσβασης Slack, κάντε κλικ στο κουμπί Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων, όπου θα δείτε οδηγίες για τη σάρωση ενός γραμμωτού κώδικα με την επιλεγμένη εφαρμογή ελέγχου ταυτότητας (τα στιγμιότυπα οθόνης παρακάτω προέρχονται από τον Επαληθευτή Google, αλλά μπορείτε επίσης να χρησιμοποιήσετε Duo για Android ή iPhone ή Windows Phone Authenticator).
Στη συνέχεια, μεταβείτε στην εφαρμογή ελέγχου ταυτότητας στη συσκευή σας και χρησιμοποιήστε την επιλογή ρύθμισης λογαριασμού για να σαρώσετε τον γραμμωτό κώδικα. Θα εμφανιστεί ένας κωδικός επαλήθευσης και θα πρέπει να το καταχωρίσετε στο πλαίσιο της ιστοσελίδας Slack για να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων.
Σημειώστε ότι θα εμφανιστούν δέκα κωδικοί ασφαλείας, μόνο σε περίπτωση που χάσετε το smartphone σας. Εάν συμβεί αυτό, χρησιμοποιήστε έναν εφεδρικό κωδικό για να συνδεθείτε στο Slack.
Περισσότερα έλεγχο ταυτότητας δύο παραγόντων, παρακαλώ!
Η χαλάρωση πρέπει να επαινεθεί για την ταχύτητα και την αποτελεσματικότητά τους στην αντιμετώπιση της παραβίασης, όταν ανακαλυφθεί. Παρόλο που συνέβη το Φεβρουάριο, η πρώτη απάντηση της εταιρείας ήταν να επικοινωνήσει με τους κατόχους λογαριασμού.
Είναι ενδιαφέρον το γεγονός ότι ο Slack σχεδίαζε ήδη να εισαγάγει έλεγχο ταυτότητας δύο παραγόντων, αλλά όλα αυτά τα γεγονότα πραγματικά μας λένε είναι ότι το 2FA πρέπει να είναι ήδη σε ισχύ για όλους τους λογαριασμούς στο διαδίκτυο. Έχει απλώς νόημα, ακόμη και αν ολόκληρη η ρύθμιση ταυτότητας δύο παραγόντων θα μπορούσε να εξορθολογιστεί Μπορεί η επαλήθευση σε δύο βήματα να είναι λιγότερο ερεθιστική; Τέσσερις μυστικές αμυχές εγγυημένες για τη βελτίωση της ασφάλειας Μπορεί η επαλήθευση σε δύο βήματα να είναι λιγότερο ερεθιστική; Τέσσερις μυστικές αμυχές εγγυημένες για τη βελτίωση της ασφάλειας Θέλετε ασφάλεια bullet-proof; Προτείνω ιδιαίτερα να ενεργοποιήσετε αυτό που ονομάζεται έλεγχος ταυτότητας "δύο παραγόντων". Διαβάστε περισσότερα .
Ήταν επηρεασμένος από την παραβίαση του Slack; Είστε απογοητευμένοι από την έλλειψη ταυτότητας δύο παραγόντων στις υπηρεσίες που χρησιμοποιείτε; Ενημέρωσέ μας.
Image Credit: Αξεσουάρ ξύδι καύση Μέσω Shutterstock, Γυναίκα με φορητό υπολογιστή μέσω PlaceIt, JC713