团队聊天服务 Slack 遭黑客攻击,推出两项安全新举措

下一篇文章

直播应用 Meerkat 自行开发推荐用户功能,对抗 Periscope

团队聊天服务 Slack 正迅速受到用户欢迎。业界盛传该公司目前正在以 28 亿美元的估值进行新一轮融资。然而,用已逝知名嘻哈歌手 Biggie Smalls 的话说,就是“没钱,也没麻烦”(Mo Money, Mo Problems),因为对于创业公司来说,成功会让他们的数据库成为黑客们垂涎的目标。

坏消息:Slack 遭到黑客攻击。大概在今年 2 月份的时候,黑客对 Slack 中央数据库进行了持续四天的攻击。

好消息:Slack 已经修复了这个漏洞,同时增强了现有安全功能。

Slack 政策与合规部门(Policy/Compliance)主管安妮·托思(Anne Toth)今天在 一篇博文 中,详细谈到了这次攻击事件。

以下即为这篇博文的主要内容:

·黑客有能力侵入 Slack 重要的用户数据库。

·这个数据库包括用户名、电子邮箱地址、加密的密码,以及用户选择添加到帐号的其他个人信息(如手机号码、Skype ID 等)。

·Slack 还进一步描述了该公司对密码进行加密的方法。他们采用了一种名为 bcrypt 的单向散列函数。HackerNews 上目前正在对这种举措是否可以有效防范黑客攻击进行激烈的讨论。

·无论采用哪种方法,你都应该遵守标准的操作流程。那就是赶快更改 Slack 密码,而且还要更改所有你使用了同一个密码的服务密码。

一个积极方面是,Slack 表示并无财务数据在此次事件中外泄。与过去几个月发生的黑客攻击事件不同的是,这一次你应该不需要更换信用卡。

作为对此次黑客入侵事件的回应,Slack 增加了两项新的安全功能:双重认证以及团队密码“死亡开关”(KillSwitch)。

现在,每个人都应该熟悉并在使用 双重验证,但为防大家不熟悉,下面我们就大概介绍一下:这种功能背后的概念是,即便有人知道了你的密码,但若想进入你的帐号,他们还需要以物理形式访问你别的东西(一般是手机)。一个随机生成的密码会发送至你的手机。没有这个密码,他们就无法进入你的帐号。

与此同时,密码死亡开关则可以让团队管理员将任何人从 Slack 聊天室中“踢”出去,强制他们重新设置密码。即便如此,用户也应该尽量不要使用这种安全手段,因为用起来非常麻烦,过度使用会导致用户设置一些垃圾密码。不过,当你怀疑有人侵入你的帐户,但又不确定此人是谁,以何种方式侵入时,就可以使用这种手段了。

至于担心帐号已遭到黑客攻击的用户,Slack 表示,他们认为“用户的团队数据(如消息或文档)并未受到未经授权的访问”,如果 Slack 发现证据证明某个团队、聊天室或个人的帐号正受到安全威胁,Slack 会立即与他们取得联系。

翻译:皓岳

Slack Got Hacked

blog comments powered by Disqus