Un hackeo a Slack ocurrido en 2015 provocó que la empresa lanzara la verificación en dos pasos. Hoy ese incidente nuevamente sale a la luz al reportarse que un 1% de usuarios de la plataforma se mantuvo afectado durante todo este tiempo, por lo que la compañía restableció sus contraseñas.
Slack publicó en su blog que gracias a su programa de recompensa de errores, recibió el aviso de que los datos de algunos usuarios estaban potencialmente comprometidos. La empresa revisó que las combinaciones de nombre de usuario y contraseña eran válidas y procedió a realizar un reinicio de contraseñas.
Este problema afecta a aquellos que crearon su cuenta antes de marzo de 2015 y no han cambiado su contraseña desde entonces. También aplica a las cuentas que no requieren inicio de sesión a través de un proveedor de inicio de sesión único.
De acuerdo con Slack, en 2015 se detectó una intrusión de personas no autorizadas, quienes tuvieron acceso a una base de datos con nombres de usuario y contraseñas cifradas. Los atacantes insertaron un código malicioso que permitía capturar contraseñas de texto plano a medida que los usuarios ingresaban en ese momento.
La empresa asegura que no ha detectado ningún otro compromiso de su infraestructura desde hace cuatro años. La mayoría de los perfiles vulnerables datan de ese incidente de seguridad, por lo que Slack no lo pensó dos veces y decidió reiniciar los accesos de todos los usuarios que eran activos desde antes del hackeo.
Slack se disculpó por los inconvenientes e invitó a todos sus usuarios que utilicen la verificación en dos pasos, en la que deberá introducirse un código y la contraseña cada que se inicie sesión. Esta función permite enviar códigos de verificación por mensaje de texto o por medio de una aplicación como Google Authenticator.