Slack、2015年の不正アクセスに関連しアカウントの約1％でパスワードリセット

Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1％でパスワードをリセットすることを発表した(The Official Slack Blogの記事、HackReadの記事、The Registerの記事、ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | 情報漏洩

　関連ストーリー：
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 2019年03月03日
Slack、米国の制裁対象国を数年以内に訪問したユーザーを多数凍結 2018年12月25日