Slack Technologiesは7月18日、ビジネスコラボレーションツール「Slack」について、全体の約1%にあたるSlackアカウントのパスワードを強制リセットすると発表した。
2015年の不正アクセスに関連する措置で、対象となるのは「2015年3月以前に作成」「2015年3月以降一度もパスワードを変更していない」「シングルサインオン (SSO) プロバイダーを利用したログインが必須化されていない」アカウント。この3つの条件に該当しない約99%のユーザーは、パスワードリセットの対象外となる。
Slackは2015年、ユーザー情報データベースを含むSlackのインフラに、第三者から不正アクセスされている。Slackは当時、対応策として全ユーザーのパスワードリセット、2要素認証の導入などを実施したが、その際、攻撃者が利用者のパスワードを平文で獲得するコードを埋め込んでいたという。
今回、Slackが提供しているバグ報奨金プログラムを通じて報告があり、同社が調査したところ、報告されたメールアドレスとパスワードの組み合わせの一部が有効だったため、該当アカウントのリセットを発表した。これらアカウントのほとんどが、2015年の不正アクセス時にSlackへログインしたものであったという。
同社は、今回リセットするアカウントに対する不正アクセスは確認しておらず、「あくまで予防措置」と説明している。
