Slack piraté : accès non autorisé à une base de données durant quatre jours

Slack piraté : accès non autorisé à une base de données durant quatre jours

Chez Slack, les mots de passe se mangent avec du sel

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

30/03/2015 3 minutes
18

Slack piraté : accès non autorisé à une base de données durant quatre jours

Triste début d'année pour la sécurité informatique. Les attaques et des fuites de données se multiplient, parfois de manière inquiétante avec Labio.fr, ou de manière plus insolite avec la SNCF. C'est désormais au tour de Slack d'en faire les frais, avec des accès frauduleux à sa base de données utilisateurs.

Slack est un outil de communication que l'on retrouve chez certaines entreprises et qui jouit d'une bonne popularité en ce moment. Alors que la société dispose enfin d'un client Windows et qu'elle chercherait à lever de nouveaux fonds, elle annonce la mise en place de la double authentification... mais avec quelques tracas possibles sur mobile. Des utilisateurs, notamment ceux qui exploitent un SSO ou qui ne se sont pas connectés depuis août dernier, devront en effet se reconnecter à leur équipe. Rien de bien grave en somme.

Slack piraté, des données personnelles dans la nature...

Mais Slack précise que, malgré ces « quelques petits défauts » qui étaient encore présents, elle souhaitait tout de même sortir cette mise  à jour « dès que possible ». Pourquoi un tel empressement ? Simplement car la société a récemment été victime d'un piratage. « Nous sommes depuis peu en mesure de confirmer qu'il y a eu un accès non autorisé à une base de données stockant des informations sur les profils utilisateurs », et ce, durant quatre jours environ en février, comme l'explique Slack sur son blog.

« Dans le cadre de notre enquête, nous avons détecté qu'une activité suspecte n'affecte qu'un très petit nombre de comptes », sans donner plus de détails. Les personnes potentiellement touchées ainsi que les responsables des entreprises concernées ont été contactés individuellement par Slack.

... mais heureusement les mots de passe étaient chiffrés et salés 

La base de données visitée contient les noms, adresses email, ainsi que des informations optionnelles comme le numéro de téléphone et l'identifiant Skype. Les mots de passe étaient également accessibles, mais Slack précise qu'ils sont hachés et salés via la fonction bcrypt, ce qui rend « mathématiquement impossible la récupération du mot de passe à partir de sa forme hachée ».  Un moindre mal donc pour Slack et ses clients, mais tout de même un coup dur pour la jeune pousse qui grimpe.

Quoi qu'il en soit, des tests ont été menés afin de s'assurer que Slack était désormais correctement sécurisé et la police a bien évidemment été avertie de cette intrusion, mais sans préciser si une plainte avait été déposée. Sachez enfin que, en plus de la double authentification, Slack propose désormais une option Password Kill Switch qui, comme son nom l'indique, permet de réinitialiser tous les mots de passe et de déconnecter tous les membres d'une équipe. 

18

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Slack piraté, des données personnelles dans la nature...

... mais heureusement les mots de passe étaient chiffrés et salés 

Commentaires (18)


encore un truc à causer une hypertension.<img data-src=" />






Triste début d’année pour la sécurité informatique. Les attaques et des fuites de données se multiplient, parfois de manière inquiétante avec Labio.fr, ou de manière plus insolite avec la SNCF. C’est désormais au tour de Slack d’en faire les frais, avec des accès frauduleux à sa base de données utilisateurs.





François, Barack, Vladimir et Angela approuvent cette news <img data-src=" />





<img data-src=" />




La base de données visitée contient les noms, adresses email, ainsi que des informations optionnelles comme le numéro de téléphone et l’identifiant Skype





Je supposes que toutes ces données étaient en clair ?


OUF ! Leur vie privée ne semble pas compromise !



Soulagé ! <img data-src=" />


+1, ce serait honteux que des données personnelles de dirigeants soient dévoilées ! (en ce qui concerne les citoyens, c’est l’inverse <img data-src=" /> )








tAran a écrit :



François, Barack, Vladimir et Angela approuvent cette news <img data-src=" />





<img data-src=" />





ho non les photos d’angela nue vont encore fuiter&nbsp;:harou:



#angela #nude #deepthroat #nsa



<img data-src=" />








tAran a écrit :



#angela #nude #deepthroat #nsa



<img data-src=" />





par contre le mec qui met des tofs de Vladimir durant ses soirée cuir et moustache, il va prendre cher









tAran a écrit :



François, Barack, Vladimir et Angela approuvent cette news <img data-src=" />





L’actualité est prévue pour demain matin.



Ce genre de fuites, est-il imputable à la société qui n’a pas assez sécuriser son fonctionnement ?








darkbeast a écrit :



par contre le mec qui met des tofs de Vladimir durant ses soirée cuir et moustache, il va prendre cher





Bah, le froid de la Sibérie au goulag, ça conserve &nbsp; …









Solid Orphan a écrit :



Ce genre de fuites, est-il imputable à la société qui n’a pas assez sécuriser son fonctionnement ?







C’est imputable à toutes les sociétés qui estiment devoir demander des informations personnelles (souvent inutiles pour le fonctionnement du service), et qui trouvent judicieux de stocker ces informations avec le reste du profil de connexion.



CREATE TABLE users (login, password, email, firstname, lastname, age, address, phone, city, language, petname, secret question, kids, bank account, …)



<img data-src=" />









John Shaft a écrit :



Je supposes que toutes ces données étaient en clair ?





euh… &nbsp;ce genre de données c’est pas un mot de passe qu’on compare à ce que l’utilisateur saisit, donc bien évidemment que c’était en clair.









Flykz a écrit :



euh… &nbsp;ce genre de données c’est pas un mot de passe qu’on compare à ce que l’utilisateur saisit, donc bien évidemment que c’était en clair.





Euh non, ça n’a rien d’évident… Aucune des applications que je gère ne contient de nom en clair par exemple.



Si mathématiquement, on ne peut pas retrouver le mot de passe; cela n’empêche pas de faire une attaque au dictionnaire.


C’est noté <img data-src=" />








Dark Abaddon a écrit :



Euh non, ça n’a rien d’évident… Aucune des applications que je gère ne contient de nom en clair par exemple.







Pour autant tu as le bout de code qui permet de déchiffrer le contenu. (Sur ca complique un peu les choses)