謝至恩論起當今最受歡迎的企業協作通訊平台,Slack 可說是最為受到注目的新興公司,不但使用者數量快速增加,預估市值更達 28 億美元,但這也讓 Slack 成為駭客眼中的肥羊。果不其然,今日 Slack 爆出遭駭客入侵的消息,目前已經修補了系統漏洞,並推出更嚴格的安全功能。
根據 Slack 的部落格表示,系統約莫在二月遭到入侵,系統資料庫遭到駭客非法存取達 4 天之久,該資料庫內容包括使用者名稱、電子郵件地址、加密過的密碼與任何使用者帳號內的資訊如電話號碼或是 Skype 名稱。
所幸的是,Slack 相信駭客無法破解加密過的密碼,表示所有使用者帳號的密碼,均透過一項稱為 bcrypt 的單向雜湊技術加密過,因此 Slack 的使用者帳號不會被駭客直接盜用,也沒有任何財務資料遭到外洩。
儘管如此,建議 Slack 的使用者仍應採取標準反應,修改自己的 Slack 帳號密碼,並且別與其他網站服務的網站名稱密碼重複。
為了避免未來發生更多資安事件,Slack 也推出了兩項安全功能,分別為雙因子認證與團隊成員密碼重設,前者已經是不少線上服務網站的標準功能,透過第二層密碼的管控,可有效避免駭客蒐集或猜測出個人的密碼便可盜用帳號的窘境。
而團隊成員密碼重設功能,則是允許 Slack 使用者團隊管理員,一次登出所有自家團隊成員,並強迫每個人重設密碼後方能登入,可協助 Slack 團隊符合大型公司較為嚴格的資安政策,如定時重設密碼等。
至於特定的 Slack 團體或個人通訊紀錄是否有可能也被駭客竊取?Slack 表示目前的調查中並未顯示有任何人/團體的通訊紀錄或資料遭到非法存取,若在日後的調查中發現真有資料外洩,Slack 將主動直接與受害使用者聯絡。
本文目錄
如何設定雙因子認證?
登入 Slack 後,在個人帳號 (Account) 畫面中,可看到「Two factor authentication」選項,使用者應安裝 Google Authenticator 、 Duo Mobile 或 Windows Phone Authenticator 應用,以產生第二組密碼。
若使用者參加了多個 Slack 團隊,那麼每個團隊的個人帳號都要開啟雙因子認證。
團隊成員密碼重設
在 Slack 團隊管理員的 Team Settings 頁面中,可看到 Authentication 標籤頁,選擇「Forced Password Reset」功能,即可強制所有團隊成員登出,並要求重設密碼。
Cover photo credit: Techcrunch