slack

Slack a renouvelé des mots de passe

Si vous utilisez Slack et que vous avez reçu un email à propos d’un incident de sécurité, ne paniquez pas.

Slack envoie des emails de notification de “reset de mot de passe” à tout les utilisateurs qui n’ont pas changé le mot de passe de leurs comptes Slack depuis 2015, l’année ou la compagnie a souffert d’une brèche de données.

En 2015, des hackers avaient obtenu un accès non-autorisé à la base de données de la compagnie qui stockait les informations des profils des utilisateurs, y compris leurs noms d’utilisateur, adresses email et hash de mots de passe.

A l’époque, les pirates ont aussi inséré secrètement du code, probablement sur la page de connexion, ce qui leur a permis de capturer les mots de passe en clair entrés par certains clients de Slack.

Après l’incident, la compagnie a automatiquement renouvelé les mots de passe des utilisateurs de Slack qui s’était fait subtilisé leur mot de passe en clair, mais a demandé aux autres (ceux dont les hash de mots de passe avaient été capturé) de changer leurs mots de passe manuellement.

Dans leur communiqué, la compagnie a déclaré qu’ils ont pris connaissance dune nouvelle liste de nom combinant les noms d’utilisateur et mots de passe qui coïncide avec les informations de connexions des utilisateurs qui n’ont pas changé leur mot de passe après la brèche de 2015.

“Nous avons été contacté via notre programme bug bounty à propos d’information concernant des comptes Slack potentiellement compromis,” a déclaré Slack.

“Nous avons immédiatement confirmé qu’une portion des combinaisons d’adresses email et de mots de passe était authentique, nous avons renouvelé ces mots de passe et expliqué nos actions aux utilisateurs affectés.”

L’incident ne concerne que les utilisateurs qui:

  • ont créé un compte avant Mars March,
  • n’ont pas changé leur mot de passe depuis l’incident
  • les comptes qui ne se connecte pas via single-sign-on (SSO).

La compagnie n’est pas vraiment sûre de la source ce cette nouvelle fuite d’informations de connexion en clair, mais pense que cela pourrait être le “résultat d’une attaque de malware ou la réutilisation de mots de passe sur différent services.”

Il est aussi probable que quelqu’un ait réussi à cracker les hash de mots de passe qui ont fuité lors de la brèche de 2015, même si ils avaient été protégé en utilisant l’algorithme bcrypt et un salage générée aléatoirement pour chaque mot de passe.

Slack avait déjà notifié ses clients

En Juin dernier, Slack a aussi envoyé une notification aux utilisateurs affectés à propos de la probable compromission de leurs informations de connexion sans vraiment fournir de détails de l’incident, mais il semblerait que beaucoup d’usagers ont ignoré l’avertissement et n’ont pas changé leurs mots de passe volontairement.

slack data breach 2015

Slack a donc décidé de renouveler automatiquement les mots de passe des comptes affectés (à peu près 1% des comptes) en leur demandant de choisir un nouveau mot de passe.

“Nous n’avons aucune raison de croire que l’un de ces comptes a été compromis, mais nous pensons que cette précaution vaut le coup,” a déclaré la compagnie.

En plus du changement de mot de passe, il est aussi recommandé d’utiliser l’authentification à deux facteurs sur vos comptes Slack, même si vous n’êtes pas affecté.

Si cet article vous a plu, jetez un œil à notre précédent article.