マルコム・オーウェン
· 1分で読めます
Slack の複数のユーザーにアカウントのパスワードをリセットする旨のメールが送られたが、これは本物であり、この仕事用コミュニケーション アプリの開発者は、ツールにセキュリティ関連のバグが発見された後にそうした。
月曜日、一部のSlackユーザーにアカウントのパスワードがリセットされたという通知が届きました。通常、このようなメールはオンライン犯罪者によるフィッシング攻撃に利用されますが、今回はSlack自体からの正当なメッセージでした。
Slackはブログ投稿で、バグへの対応として8月4日に約0.5%のユーザーに対し、パスワードをリセットしたことを通知したと説明した。パスワードは「安全のため」リセットされ、ユーザーはアカウントに新しいパスワードを設定する必要があった。
リセットの理由は、セキュリティ研究者が発見したバグによるもので、7月17日にSlackに開示された。ユーザーがワークスペースの共有招待リンクを作成または取り消すと、Slackはユーザーのパスワードのハッシュバージョンを他のワークスペースユーザーに送信した。
Slackは、ハッシュ化されたパスワードはSlackクライアント自体には表示されず、暗号化されたネットワークトラフィックを積極的に監視することで検出できたため、このバグによるユーザーへの悪影響はないと確信しています。また、この問題によって平文のパスワードが取得された可能性も否定できませんが、予防措置として関連するパスワードをリセットしました。
Slackによると、2017年4月17日から2022年7月17日の間に共有招待リンクを作成または取り消したすべてのユーザーが影響を受ける可能性があるという。
Slack は、懸念のあるユーザーに対し、自分のアカウントの個人アクセス ログをチェックしてアクセスを確認し、2 要素認証を設定するとともに、サービスごとに固有のパスワードを作成できるパスワード マネージャーを使用するようアドバイスしています。
