Slack & Hack Ce que vous devez savoir sur la violation de la sécurité d'un outil de collaboration
L'outil de collaboration en ligne populaire Slack a été violé, ce qui a entraîné la fuite de 500 000 adresses électroniques et autres données de compte personnelles. Bien que les mots de passe soient restés sûrs, les utilisateurs sont encouragés à prendre des mesures..
Juste ce qui est slack?
Slack est un outil de collaboration qui consiste essentiellement en un ensemble de salles de discussion définies par l'utilisateur qui prennent en charge le partage de fichiers et la messagerie privée. Slack a été lancé en août 2013 et, dans les 24 heures suivant son lancement, avait attiré 8 000 inscriptions. Idéal pour les petites équipes plutôt que pour les grands départements, le service offre également une intégration avec d'autres outils, tels que Google Docs et Dropbox..
Ce n’est pas le genre d’outil que vous utiliserez habituellement à la maison, mais si vous travaillez dans un bureau qui a besoin d’un bon logiciel de gestion de projet. Comment utiliser Slack pour la gestion de projet avec ces astuces simples Ces astuces simples Avec l'ensemble de fonctionnalités astucieuses de Slack et son interface utilisateur sans distraction, la plate-forme peut également faire office d'outil de gestion de projet pour vous. Apprenez à le configurer comme assistant personnel en ligne. En savoir plus et vouloir améliorer l'efficacité de la communication au sein d'une équipe Slack rend la communication de groupe plus rapide et plus facile Slack rend la communication de groupe plus rapide et plus simple Les e-mails de groupe peuvent réellement réduire la productivité. Il est temps de mettre les clients de messagerie au repos et d'utiliser des services de collaboration tels que Slack, récemment lancé. En savoir plus, que vos collègues soient regroupés dans un bureau ou qu’ils forment une équipe distribuée (également appelée équipe virtuelle, c’est-à-dire une équipe composée de personnes réparties autour de la planète), Slack est un excellent choix..
Slack est disponible dans votre navigateur et également en tant qu'application mobile pour iOS et Android. Les clients de bureau officiels sont disponibles pour Windows et Mac OS X. Il existe également une version non officielle de Linux Utilisateurs ludiques pour Linux: Voici une application pour vous! Utilisateurs Linux adeptes de slack: voici une application pour vous! Procurez-vous un client Slack fonctionnel pour Ubuntu, complet avec notifications et une icône indépendante. ScudCloud est le client non officiel Slack recherché par les utilisateurs d'Ubuntu. Lire la suite .
La brèche de sécurité
Slack pourrait bien être devenu une cible cible grâce à sa récente évaluation du marché de 2,76 milliards de dollars, ainsi qu'à la nouvelle selon laquelle 135 000 de ses 500 000 utilisateurs paient des frais pour utiliser le service, ou se font payer des frais en leur nom par un employeur..
La brèche a eu lieu en février et a duré quatre jours. Slack a dit The Verge “les bases de données contenant l'historique des messages de l'équipe n'ont pas été consultées dans le cadre de la violation. Aucune information de paiement n'a été exposée… ”
Fait intéressant, ce n’est pas la première fois que Slack est pris au dépourvu en matière de sécurité. En octobre 2014, un bug a été signalé qui permettait aux visiteurs non connectés du site d'afficher le nom des canaux (salles de discussion) utilisés par une entreprise donnée..
Donc, les messages d'équipe restant confidentiels (ce qui a probablement sauvé beaucoup de clients déjà perturbés), les attaques visaient principalement les informations de l'utilisateur, l'adresse e-mail utilisée pour la connexion, ainsi que d'autres informations de profil, telles que le nom d'utilisateur Slack et le numéro de téléphone. , données de profil et nom de compte Skype.
Qu'en est-il des mots de passe?
Slack affirme que les intrus ne pirateront pas les mots de passe qui ont été divulgués, car ils “mots de passe unidirectionnels ('hachés').”
Pour expliquer plus loin:
“Rien n'indique que les pirates aient pu déchiffrer les mots de passe stockés, Slack utilisant une technique de chiffrement unidirectionnel appelée hachage..”
Il convient de noter que Slack a traité la question de manière efficace et n’a révélé aucune information sur l’attaque jusqu’à ce qu’ils aient communiqué avec les personnes touchées. Donc, si vous n'avez pas entendu parler de Slack, alors il est peu probable que vous soyez touché.
Cependant, le fait que ces mots de passe soient hachés ne signifie pas qu'ils ne peuvent pas être cassés, avec les bons outils.
Prendre des mesures pour sécuriser le mou
Pour faire face à l'attaque, Slack a introduit deux nouvelles fonctionnalités. La première consistait à donner aux administrateurs un commutateur de réinitialisation universel, obligeant ainsi tous les utilisateurs appartenant à une équipe donnée à réinitialiser leurs mots de passe. Cela atténuera les problèmes de sécurité immédiats..
Cependant, à long terme, la solution se trouve sans doute dans l'authentification à deux facteurs. Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser? Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser? L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,… Lire la suite, qui a également été introduite par Slack. Pour l'activer, vous devez vous connecter à votre compte Slack, cliquer sur votre statut dans le coin inférieur gauche et sélectionner Votre profil> Modifier le profil. De là, passez à Réglages et Développer la Authentification à deux facteurs section.
Ajoutez votre mot de passe Slack actuel, cliquez sur le bouton Activer l'authentification à deux facteurs bouton, où vous verrez les instructions pour numériser un code à barres avec votre application d'authentification choisie (les captures d'écran ci-dessous proviennent de Google Authenticator, mais vous pouvez également utiliser Duo pour Android, iPhone ou Windows Phone Authenticator).
Ensuite, passez à l'application d'authentification sur votre smartphone et utilisez l'option de configuration du compte pour numériser le code à barres. Un code de vérification sera affiché et vous devrez le saisir dans la case du site Web Slack pour activer l'authentification à deux facteurs..
Notez que dix codes de sauvegarde seront également affichés au cas où vous perdriez votre smartphone. Si cela se produit, utilisez un code de sauvegarde pour vous connecter à Slack..
Plus d'authentification à deux facteurs, s'il vous plaît!
Slack devrait être félicité pour sa rapidité et son efficacité dans le traitement de la brèche, une fois découverte. Bien que cela se soit produit en février, la première réponse de la société a été de contacter les titulaires des comptes concernés..
Il est intéressant de noter que Slack prévoyait déjà d'introduire une authentification à deux facteurs, mais tout cet événement nous dit en réalité que 2FA devrait déjà être en place, pour tous les comptes en ligne. Cela a tout simplement du sens, même si l’ensemble de la configuration de l’authentification à deux facteurs pouvait être simplifiée. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". Lire la suite .
Avez-vous été touché par la brèche Slack? Êtes-vous frustré par le manque d'authentification à deux facteurs dans les services que vous utilisez? Laissez nous savoir.
Crédit image: Axe coupe du bois de chauffage via Shutterstock, une femme avec un ordinateur portable via PlaceIt, JC713
En savoir plus sur: la sécurité en ligne, l'authentification à deux facteurs.