Digiturvatulkki

takaisin etusivulle

Slack resets user passwords after 2015 data breach – TechCrunch

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
häiriöiden käsittely
slack

Tulkattava artikkeli

Viitattu
6.8.2019
osoitteessa
https://techcrunch.com/2019/07/18/slack-password-breach/
Slack will reset the passwords of users it believes are affected by a historical data breach that affected the company more than four years ago. In 2015, the company said it was hit by hackers who gained access to its user profile database, including their scrambled passwords. But the hackers inserted code that scraped the user’s plaintext password as it was entered by users at the time. Slack said it was recently contacted through its bug bounty about a list of allegedly compromised Slack account passwords. The company believes the case may relate to the 2015 data breach incident.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Slack ilmoitti 2015, että käyttäjätiedot oli hakkeroitu, sisältäen myös salattuja salasanoja. Tällöin yritys resetoi vain pienen käyttäjämäärän salasanat. Nyt, 4 vuotta myöhemmin ja monien ihmetykseksi, resetoitiin kaikkien loukkauksen käyttäjien salasanat loukkauksen ajalta.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Slackin tapaus vuodelta 2015 oli valitettavan tuttu käyttäjätietokannan tietovuoto, jossa kerrotaan käyttäjätietoja ja salasanoja vuotaneen, mutta salattuina. Näissä tapauksissa on syytä ymmärtää, että heikot salasanat ovat edelleen vaarassa, sillä salasanojen salauksia huijarit yrittävät tämän jälkeen murtaa offline-hyökkäyksenä. Usein heikoimmat salasanat murtuvat tunneissa ja niiden haittakäyttö voi alkaa.

Haittakäytöstä on toki vähemmän vaaraa, mikäli samaa salasanaa ei ole käytetty useissa palveluissa. Tämä nousee esille aina salasanojen turvallisuudesta puhuttaessa. Nykyajan tietotyöläinen tarvitsee töissään niin montaa tietojärjestelmää, että tulkki suosittelee ainoana oikeana ratkaisuna salasanojen hallintajärjestelmän käyttöä. Tällainen järjestelmä on kuin se pieni musta kirja, jonne kirjoitat kaikki salasanat muistiin, mutta salattu ja helppokäyttöisempi. Olemme kirjoittaneet salasanojen turvallisuudesta toisessa blogikirjoituksessamme.

Mikä meni pieleen?
4 vuotta tapauksen jälkeen reagoidaan toimenpitein?

Vaikuttaa hyvin oudolle käyttäjän näkökulmasta.

Mikä aikanaan reagoinnissa kesti?

2015 loukkauksen ilmoittamisessa kesti pari kuukautta. Tämä seikka on nyt korostunut uudelleen, tapauksen noustessa takaisin otsikoihin. Epäilyjä on herännyt, että yritys odotteli uuden 2FA-ominaisuuden julkaisua samaan viestiin loukkauksesta ilmoittamisen kanssa. Tällainen odottelu ei ainakaan enää nykyisellä GDPR-aikakaudella, jossa vaaditaan 72 tunnin sisällä loukkauksista ilmoittamista, tuota kovinkaan ymmärtäviä reaktioita.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Vanhakin asia kiinnostaa ihmisiä

Nykyään kyselyt alkavat ja asiat nousevat helposti otsikoihin, kun käyttäjille lähetetään mitä tahansa salasanoihin ja muihin luottamuksellisiin tietoihin liittyviä viestejä.

Yritykset ottavat mahdolliset seuraukset vakavasti ja haluavat nykyään näyttää reagoivansa vuotoihin

Slack ei halunnut jättää tapausta roikkumaan ilman selkeitä toimenpiteitä, vaikka kyseessä oli näinkin vanha vuoto.

Oletko Slack-käyttäjä?

Vaikka tapauksen täysi kulku on edelleen mysteeri, paras varmastikin päivittää oma salasana ja ottaa kaksivaiheinen tunnistautuminen käyttöön.

case
ilmiö
teknologia
tietoturvaloukkaus
häiriöiden käsittely
slack