Messaging: Slack führt nach Angriffen Zwei-Faktor-Authentifizierung ein

Vier Tage lang hatten Angreifer wohl unbefugten Zugriff auf die Datenbank, in der Slack die Profilinformation seiner Nutzer hinterlegt. Betroffene Teams wurden bereits informiert, außerdem stehen nun zusätzliche Sicherheitsmechanismen bereit.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Cyberkriminelle
Lesezeit: 2 Min.
Von
  • Julia Schmidt

Nachdem das Team hinter Slack alle Einzelheiten der im Februar durchgeführten Angriffe untersuchen und bestätigen konnte, informierte der Teamkommunikationsdienst nun seine Nutzer über den Vorfall. Scheinbar konnten sich Angreifer Zugriff auf die Datenbank verschaffen, in der Slack die Profilinformationen seiner Nutzer speichert. In ihr sind Nutzernamen, E-Mail-Adressen und mit Hashfunktionen (Slack nutzt bcrypt) verschleierte Passwörter sowie zusätzliche Angaben wie Telefonnummern und Skype IDs hinterlegt.

Die Angreifer hatten wohl über einen Zeitraum von vier Tagen Zugriff auf die Daten, allerdings gibt es keinen Hinweis darauf, dass die Hacker in der Lage waren, die gefundenen Passwörter zu entschlüsseln. Außerdem gab es laut Bekanntmachung keinen Zugriff auf Bezahlinformationen. Seit dem Vorfall konnte das Slack Team den unbefugten Zugriff wohl sperren und die technische Infrastruktur so anpassen, dass zukünftige Vorfälle dieser Art ausgeschlossen sind.

Betroffene Nutzer und Teamleiter wurden direkt nach den Vorfällen in Kenntnis gesetzt. Auf Daten nicht kontaktierter Nutzer soll kein Zugriff stattgefunden haben. Als Konsequenz hat das Team alle Systemkomponenten untersucht, neu gebaut und getestet, um deren Sicherheit garantieren zu können. Außerdem wurden externe Experten hinzugezogen, um eventuell vorhandene weitere Lücken aufdecken zu können.

Darüber hinaus stellt der Dienst nun früher als erwartet Zwei-Faktor-Authentifizierung zur Verfügung. Das Feature ist wohl schon seit einigen Monaten in Entwicklung, da die Umsetzung aber mit einigem zusätzlichen Aufwand einhergehe, habe man es nicht früher anbieten, erklärt Slack. Man sei zwar kurz vor dem geplanten Veröffentlichungtermin, stelle es aber schon jetzt zur Verfügung, da es zwar noch etwas klobig, aber dennoch funktionsfähig sei und besonders angesichts der jüngsten Geschehnisse ein zusätzliches Maß an Sicherheit biete. Eine Anleitung zur Aktivierung des Authentifizierungsmechanismus ist im Help Center des Diensts zu finden.

Team-Admins steht nun zudem eine Funktion zur Verfügung, mit der sich die Passwörter aller Teammitglieder auf einmal zurücksetzen lassen. Sie finden sie unter den Team-Einstellungen im Authentication-Reiter. Weitere Informationen zu den Sicherheitsmaßnahmen in Slack sind auf einer speziellen Sicherheitsseite nachzulesen. (jul)