O Slack é uma aplicação que é muito conhecida para a comunicação de times e vem tendo uma grande aceitação nos últimos tempos. Realmente é uma aplicação que é muito mão na roda mas, tem concorrentes bem interessantes como o HipChat que é facilmente integrado com o BitBucket ( um git Web tal qual o GitHub ).

Em uma atitude bem séria a equipe do Slack avisou que teve o seu banco de dados de usuários acessado sem autorização e para garantir que não houvesse nenhum comprometimento das contas de seus usuários eles aconselharam a ativação da autenticação de dois fatores nas contas.

Apesar de, de acordo com o comunicado, o número de usuários afetados ter sido muito pequeno o Slack já parece ter aproveitado este problema e ativado algo que já deveria existir desde a criação do produto, já que a autenticação de dois fatores é algo praticamente natural hoje em dia na maioria dos produtos e soluções.

Além da autenticação de dois fatores o pessoal do Slack colocou uma opção de “Password Kill Switch” que é no fim um botão que foi criado para os proprietários de equipe que forcem o encerramento de todas as seções e também, forcem a troca de todas as senhas em um único botão.

As novas medidas de segurança mostram que o pessoal do Slack leva bem a sério o quesito segurança e que tratam os problemas deste tipo muito rapidamente.

Eles compartilharam via e-mail algumas informações sobre o ataque com todos os usuários.

O Slack mantém um banco central de usuários que inclui nomes de usuário, endereço de e-mail e hash das senhas em sentido único. Além disto esta base de dados contém informações opcionais que os usuários podem ter adicionado aos seus perfids como número de telefone e id do Skype.

As informações contidas nesta base de dados do usuários estiveram acessíveis aos hackers durante este incidente.

Nós não temos nenhuma indicação que os hackers foram capazes de decifrar as senhas armazenadas, já que o Slack usa uma técnica de criptografia unidirecional chamada hashing.

A função de hashing do Slack é bcrypt com salto randômico gerado por senha tornando computacionalmente impossível que sua senha poderia ser recriada a partir da forma de hash.

Nossa investigação continua em curso e revelou que o acesso não autorizado ocorreu durante aproximadamente quatro dias em fevereiro.

Nenhuma informação financeira ou de pagamento foi acessada ou comprometida durante este ataque.

A equipe do Slack pede que todos os usuários façam a ativação dos dois fatores em sua conta e as intruções para fazer isto são bem claras para todos os usuários que utilizam o produto.

Eu já ativei nas minhas contas do Slack, caso você utilize com algum dos seus times, aconselho , se você for o administrador a pedir a sua equipe para fazê-lo também ou caso você seja somente um usuário, a pedir que o seu administrador peça a toda a equipe para fazer o mesmo.

Isto é importante, porque apesar do comunicado do Slack não ser claro quanto a isto, os atacantes tiveram acesso as senhas e independente de terem sua senha descriptografada eles podem conseguir interceptar seções do Slack pois possuem os hashs de senha que podem ser utilizados em cookies, por exemplo do sistema.