Slack Technologiesは8月4日(米国時間)、「Notice about Slack password resets|Slack」において、Slackユーザーのパスワードリセットを行ったと伝えた。ワークスペースの共有招待リンクの作成または取り消しの際にバグが発生しており、約0.5%のSlackユーザーのパスワードをリセットしたと伝えている。
-
Notice about Slack password resets|Slack
今回のパスワードリセットの原因となった脆弱性は独立したセキュリティ研究者によって発見され、2022年7月17日にSlack Technologiesへ伝えられた。対象となるユーザーは2017年4月17日から2022年7月17日までの間に共有招待リンクを作成または取り消したすべてのユーザーとされており、これに相当するユーザがSlackユーザ全体の0.5%ほどだったものとみられる。
漏洩したパスワードはハッシュ化されている。ソルティングを使ってハッシュ化されたものであり、現実的にはこのハッシュ化されたパスワードから元のパスワードを取り出すことは不可能とSlack Technologiesは分析している。しかし念のため、影響を受けたユーザーのSlackパスワードをすべてリセットしたと説明しており、再度ログインするには新しいSlackパスワードを設定する必要があるとされている。
Slackはすべてのユーザーに対して二要素認証(2FA: Two-Factor Authentication)の使用、ソフトウェアを常に最新版に保つこと、利用するサービスごとに異なるパスワードを使うこと、パスワードマネージャを使用することを推奨している。自身のアクセスログに関しては「https://my.slack.com/account/logs」から確認を行えると説明されている。
