Nach Angriff von 2015
22.07.2019, 14:45 Uhr
Slack resettet User-Passwörter wegen Hack
2015 gelang es Hackern, Benutzernamen und Passwörter von Slack-Nutzern zu entwenden. Nun sind neue Informationen über den Sicherheitsvorfall aufgetaucht. Slack setzte deshalb die Passwörter von einigen Usern zurück.
Der Instant-Messaging-Dienst Slack hat aus Sicherheitsgründen die Passwörter einiger Userinnen und User zurückgesetzt. Die Massnahme steht im Zusammenhang mit einem Hacker-Angriff auf das Unternehmen aus dem Jahr 2015. Betroffen sind deshalb sämtliche Accounts, die beim Sicherheitsvorfall vor vier Jahren aktiv waren, wie das Unternehmen in einem Beitrag schreibt. Ausgenommen seien jene Accounts, bei denen Single-Sign-On verwendet werde oder das Kennwort seit März 2015 bereits geändert wurde. Der Firma zufolge sind nur rund 1 Prozent der Slack-Accounts betroffen.
Was ist 2015 bei Slack passiert? Dritten gelang es, sich Zugang zu einer Datenbank zu verschaffen, die Informationen von Benutzerprofilen enthielt – unter anderem Benutzernamen und Passwörter. Slack hatte diese zwar im Hash-Verfahren verschlüsselt, beim Hack schleusten die Angreifer jedoch Code ein, mit dem es ihnen gelang, Passwörter als Klartext zu erfassen, wenn Benutzer diese beim Anmeldevorgang eintippten.
Unmittelbar nach dem Vorfall habe Slack bereits Passwörter für eine «kleine Anzahl» von Usern zurückgesetzt. Wie das Unternehmen weiter schreibt, sind danach umgehend «korrektive und präventive Sicherheitsmassnahmen» implementiert worden, einschliesslich der Zwei-Faktor-Authentifizierung. Auch seien sämtliche Nutzer dazu aufgefordert worden, ihre Passwörter zurückzusetzen.
Über das hauseigene Bug-Bounty-Programm sei Slack nun über potenziell kompromittierte Slack-Anmeldedaten informiert worden, heisst es im Beitrag weiter. «Diese Art von Berichten erhalten wir routinemässig. Sie sind normalerweise das Ergebnis von Malware oder der Wiederbenutzung von Passwörtern zwischen verschiedenen Services. Davon sind wir auch bei diesem Fall ausgegangen», schreibt die US-Firma. Es habe sich danach jedoch bestätigt, dass ein Teil der E-Mail-Adressen und Passwort-Kombinationen gültig sind. Slack habe diese Passwörter zurückgesetzt und die Massnahme den betroffenen Usern erklärt.
Abschliessend schreibt Slack: «Wir haben keinen Grund zu der Annahme, dass irgendeiner dieser Accounts kompromittiert wurde, aber wir glauben, dass diese Vorsichtsmassnahme alle Unannehmlichkeiten wert ist, die das Zurücksetzen der Passwörter mit sich bringen könnte.»