Slack ทำการรีเซ็ตรหัสผ่านผู้ใช้ที่ไม่มีการเปลี่ยนตั้งแต่ปี 2015

หากได้รับอีเมลแจ้งเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านจากทาง Slack อย่าเพิ่งตกใจไปนะจ๊ะ ที่ทาง Slack เค้าส่งอีเมลแจ้งเตือนไปก็เพราะว่า ทาง Slack นั้นจะทำการรีเซ็ตรหัสผ่านผู้ใช้งานตั้งแต่ปี 2015

สาเหตุนั้นก็มาจากเหตุการณ์ข้อมูลรั่วไหลในปี 2015 ในตอนนี้แฮกเกอร์ได้ทำการแอบใส่โค้ดที่เป็นอันตรายลงในหน้า Login Page หากมีผู้ใช้ทำการใส่ username กับ password ลงไป ข้อมูลเหล่านี้จะถูกเก็บในรูปแบบข้อความ หรือ plaintext ทำให้แฮกเกอร์สามารถเข้าถึงบัญชีผู้ใช้งานได้

การแจ้งเตือนในครั้งนี้จะมีผลกระทบกับผู้ใช้ที่มีคุณสมบัติ ดังนี้

  1. บัญชีถูกสร้างก่อนมีนาคม 2015
  2. ไม่มีการเปลี่ยนรหัสผ่านตั้งแต่เกิดเรื่อง
  3. ไม่ตั้งค่าให้ล็อคอินผ่าน single-sign-on (SSO)

แม้ว่าในตอนนั้นทาง Slack ได้ทำการรีเซ็ตรหัสผ่านผู้ใช้แล้วส่วนหนึ่ง แต่เมื่อไม่นานมานี้ทาง Slack ได้รับการแจ้งเตือนว่ามีข้อมูลผู้ใช้หลุดออกมาเพิ่มเติม เมื่อทำการตรวจสอบแล้ว พบว่าเป็นข้อมูลที่เคยหลุดออกมาแล้วในปี 2015

ทาง Slack จึงทำการตัดสินใจทำการรีเซ็ตรหัสผ่านผู้ใช้ประมาณ 65,000 บัญชี และได้ทำการส่งรหัสผ่านใหม่ไปให้ผู้ใช้แล้วเมื่อวานนี้

ที่มา: The Hacker News