Flojo Hack: lo que necesita saber acerca de la colaboración violación de la seguridad de herramientas

Slack popular herramienta de colaboración en línea fue violada, lo que resulta en 500.000 direcciones de correo electrónico y otros datos de la cuenta personal que se filtró. Mientras que las contraseñas se han mantenido segura, los usuarios están invitados a tomar medidas.

Exactamente qué es Slack?

Slack es una herramienta de colaboración que es esencialmente una colección de salas de chat definidos por el usuario que soportan el intercambio de archivos y mensajes privados, Slack fue lanzado en agosto de 2013, y dentro de las 24 horas de su lanzamiento había atraído 8.000 inscripciones. Ideal para los equipos más pequeños en lugar de grandes departamentos, el servicio también ofrece la integración con otras herramientas, como Google Docs y Dropbox.

Muo-security-slackhack-logo

Este no es el tipo de herramienta que utiliza por lo general alrededor de la casa, pero si usted trabaja en una oficina que necesita una buena software para la gestión de proyectos y quiere hacer la comunicación intra-equipo más eficaz, si sus colegas están agrupados en una oficina o existen como un equipo distribuido (también conocido como un equipo virtual, es decir, uno que consta de personal situados alrededor del planeta), a continuación, Slack es una gran elección.Cómo utilizar holgura para Gestión de Proyectos con estos sencillos consejosCómo utilizar holgura para Gestión de Proyectos con estos sencillos consejosCon juego inteligente de holgura de características y la interfaz de usuario libre de distracciones, la plataforma puede funcionar como una herramienta de gestión de proyectos para usted. Aprender a configurarlo como su asistente personal en línea.Lee mas

Holgura está disponible en el navegador y también como una aplicación móvil para iOS y Android. clientes oficiales de escritorio están disponibles para Windows y Mac OS X, y también hay una versión no oficial de Linux.

La holgura de violación de la seguridad

Holgura bien puede haber convertido en un objetivo gracias a su reciente evaluación de mercado $ 2,76 mil millones, así como la noticia de que 135.000 de sus 500.000 usuarios pagan una cuota para utilizar el servicio, o tienen una tarifa pagada en su nombre por un empleador.

El incumplimiento se produjo en febrero y duró cuatro días. Holgura a The Verge “de que las bases de datos que contienen la historia del equipo mensaje no se ha accedido como parte de la brecha. No hay información de pago fue expuesta ...”

Curiosamente, esta no es la primera vez que Slack ha sido atrapado con sus pantalones abajo, la seguridad se refiere. En octubre de 2014 un error se informó que permitió no registra en los visitantes al sitio para ver los nombres de los canales (salas de chat) en uso por una empresa en particular.

Así que con los mensajes restantes del equipo confidencial (algo que probablemente salvó Slack mucho ya perturbados clientes) el foco del ataque estaba en los detalles del usuario, cosas como la dirección de correo electrónico utilizada para iniciar sesión, y otra información de perfil, tales como nombre de usuario Slack, número de teléfono , los datos de perfil y nombre de la cuenta de Skype.

¿Qué pasa con las contraseñas?

Holgura sostiene que las contraseñas filtradas no ser pirateados por los intrusos, gracias a que pueden ser “unidireccional cifrado (‘hash ") contraseñas.”

Vídeo: The Internet's Own Boy: The Story of Aaron Swartz (2014)

Muo-security-slackhack-Laptop2

Para explicar con más detalle:

“No tenemos ninguna indicación de que los piratas informáticos fueron capaces de descifrar las contraseñas almacenadas, como Slack utiliza una técnica de cifrado de una vía llamada hash”.

Vale la pena señalar que la holgura se ocupó de la cuestión de manera eficiente, y no dio a conocer ninguna información sobre el ataque hasta que se había comunicado con los que se vieron afectados. Así que si usted no ha oído de Slack, entonces es poco probable que usted está afectado.

Vídeo: Wikileaks - El quinto poder (The Fifth Estate)

Sin embargo, el hecho de que esas contraseñas son ordenadas no significa que no pueden ser rotos, con las herramientas adecuadas.

Ponerse en marcha para Slack

Para hacer frente al ataque, Slack introdujo dos nuevas características. La primera consistía en proporcionar a los administradores un interruptor de ajuste universales, obligando con ello a todos los usuarios en virtud de un equipo en particular a restablecer sus contraseñas. Si lo hace, mitigar los problemas de seguridad inmediatos.

Muo-security-slackhack-enable2fa

A largo plazo, sin embargo, la respuesta puede, sin duda, puede encontrar en Autenticación de dos factores, el que ahora también ha sido introducido por Slack. Para activar esto, usted debe iniciar sesión en su cuenta Slack, haga clic en su estado en la esquina inferior izquierda y seleccione Tu perfil gt; Editar perfil. A partir de aquí, cambiar a ajustes y Expandir el Autenticación de dos factores sección.¿Qué es la autenticación de dos factores, y por qué se debe utilizar¿Qué es la autenticación de dos factores, y por qué se debe utilizarautenticación de dos factores (2FA) es un método de seguridad que requiere dos maneras diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo pagar con una tarjeta de crédito no sólo requiere la tarjeta, ...Lee mas

Añadir su contraseña actual Slack, haga clic en el Habilitar autenticación de dos factores botón, donde se verá las instrucciones para escanear un código de barras con su aplicación autenticador elegido (imágenes a continuación son de Google Authenticator, pero también se puede utilizar Duo para Android o iPhone o Windows Phone autenticador).

A continuación, cambiar a la aplicación autenticador en el smartphone y utilizar la opción de configuración de la cuenta para escanear el código de barras. Un código de verificación se mostrará, y usted necesitará para entrar en el apartado de en la página web Slack para activar la autenticación de dos factores.

Tenga en cuenta que también se mostrarán diez códigos de seguridad, en caso de que pierda su teléfono inteligente. En tal caso, utilice un código de seguridad para acceder a Slack.

Más autenticación de dos factores, por favor!

Holgura debe ser elogiado por su velocidad y eficiencia en el tratamiento de la ruptura, una vez descubierto. A pesar de que se produjo en febrero, la primera respuesta de la empresa fue ponerse en contacto con los titulares de las cuentas afectadas.

Es interesante que la holgura ya estaba previsto introducir la autenticación de dos factores, pero todo este evento realmente nos dice es que 2FA debe estar en su lugar ya, para todas las cuentas en línea. Simplemente tiene sentido, incluso si toda la configuración de la autenticación de dos factores podría ser agilizado.Puede Verificación de dos pasos menos irritante? Cuatro Hacks Secret Garantizado para mejorar la seguridadPuede Verificación de dos pasos menos irritante? Cuatro Hacks Secret Garantizado para mejorar la seguridad¿Quieres cuenta la seguridad a prueba de balas? Sugiero altamente permitiendo lo que se llama "De dos factores" autenticación.Lee mas

¿Estaba afectado por la violación Slack? ¿Se siente frustrado por la falta de autenticación de dos factores en los servicios que utiliza? Haznos saber.

JC713