Nach Angriff von 2015 22.07.2019, 14:45 Uhr

Slack resettet User-Passwörter wegen Hack

2015 gelang es Hackern, Benutzernamen und Passwörter von Slack-Nutzern zu entwenden. Nun sind neue Informationen über den Sicherheitsvorfall aufgetaucht. Slack setzte deshalb die Passwörter von einigen Usern zurück.
(Quelle: shutterstock.com/DJSinop)
Der Instant-Messaging-Dienst Slack hat aus Sicherheitsgründen die Passwörter einiger Userinnen und User zurückgesetzt. Die Massnahme steht im Zusammenhang mit einem Hacker-Angriff auf das Unternehmen aus dem Jahr 2015. Betroffen sind deshalb sämtliche Accounts, die beim Sicherheitsvorfall vor vier Jahren aktiv waren, wie das Unternehmen in einem Beitrag schreibt. Ausgenommen seien jene Accounts, bei denen Single-Sign-On verwendet werde oder das Kennwort seit März 2015 bereits geändert wurde. Der Firma zufolge sind nur rund 1 Prozent der Slack-Accounts betroffen.
Was ist 2015 bei Slack passiert? Dritten gelang es, sich Zugang zu einer Datenbank zu verschaffen, die Informationen von Benutzerprofilen enthielt – unter anderem Benutzernamen und Passwörter. Slack hatte diese zwar im Hash-Verfahren verschlüsselt, beim Hack schleusten die Angreifer jedoch Code ein, mit dem es ihnen gelang, Passwörter als Klartext zu erfassen, wenn Benutzer diese beim Anmeldevorgang eintippten.
Unmittelbar nach dem Vorfall habe Slack bereits Passwörter für eine «kleine Anzahl» von Usern zurückgesetzt. Wie das Unternehmen weiter schreibt, sind danach umgehend «korrektive und präventive Sicherheitsmassnahmen» implementiert worden, einschliesslich der Zwei-Faktor-Authentifizierung. Auch seien sämtliche Nutzer dazu aufgefordert worden, ihre Passwörter zurückzusetzen.
Über das hauseigene Bug-Bounty-Programm sei Slack nun über potenziell kompromittierte Slack-Anmeldedaten informiert worden, heisst es im Beitrag weiter. «Diese Art von Berichten erhalten wir routinemässig. Sie sind normalerweise das Ergebnis von Malware oder der Wiederbenutzung von Passwörtern zwischen verschiedenen Services. Davon sind wir auch bei diesem Fall ausgegangen», schreibt die US-Firma. Es habe sich danach jedoch bestätigt, dass ein Teil der E-Mail-Adressen und Passwort-Kombinationen gültig sind. Slack habe diese Passwörter zurückgesetzt und die Massnahme den betroffenen Usern erklärt.
Abschliessend schreibt Slack: «Wir haben keinen Grund zu der Annahme, dass irgendeiner dieser Accounts kompromittiert wurde, aber wir glauben, dass diese Vorsichtsmassnahme alle Unannehmlichkeiten wert ist, die das Zurücksetzen der Passwörter mit sich bringen könnte.»
Artikel drucken
Luca Perler
Das könnte Sie auch interessieren
Online-Handel
Edöb kritisiert Kundenkontozwang bei Digitec Galaxus
 
vor 2 Tagen
Grosser Rat BS
Danielle Kaufmann wird Basler Datenschutzbeauftragte
 
10.04.2024
Kriminalität
Über eine Milliarde Dollar Lösegeld an Cyberkriminelle weltweit
 
05.04.2024
Zugangsdaten
Über eine halbe Million Account-Informationen von ChatGPT-Nutzern im Darknet
 
04.04.2024