A la luz de nueva información sobre la incidencia de seguridad de 2015 (el informe que publicamos en ese momento lo puedes leer aquí) hemos decidido restablecer las contraseñas del 1 % de las cuentas de Slack, aproximadamente. Este anuncio solo tendrá interés para ti si cumples con estas tres condiciones:
- Creaste una cuenta antes de marzo de 2015.
- Y no has actualizado tu contraseña desde entonces.
- Y no usas un proveedor de inicio de sesión único (SSO) para conectarte a tu cuenta.
En otras palabras, si eres parte del 99 % que se unió a Slack después de marzo de 2015 o has cambiado tu contraseña desde esa fecha, entonces este anuncio no se aplica a tu caso.
2015
En 2015, individuos no autorizados ganaron acceso a cierta infraestructura de Slack, incluida una base de datos que almacena información de perfil de los usuarios, incluidos sus nombres de usuario y contraseñas cifradas de modo irreversible (a través de la función “hash”). Los atacantes también insertaron un código que les permitía captar las contraseñas como texto sin formato a medida que los usuarios las iban escribiendo.
Inmediatamente después de la incidencia, restablecimos las contraseñas del pequeño número de usuarios de Slack que confirmamos que habían sido afectados. También recomendamos a todos los usuarios que restableciesen sus contraseñas e inmediatamente implementamos medidas de seguridad correctivas y preventivas, como la autenticación de dos factores. Desde la incidencia de seguridad de 2015, dirigida contra Slack y otras empresas, nuestra infraestructura no se ha vuelto a ver comprometida.
2019
Recientemente, un miembro de nuestro programa “bug bounty” nos contactó con información sobre credenciales de Slack potencialmente comprometidas. Este tipo de informes son relativamente comunes y suelen ser el resultado de software malicioso o reutilización de contraseñas entre diferentes servicios, como pensamos que era el caso.
Inmediatamente confirmamos que una porción de las combinaciones de direcciones de correo electrónico y contraseñas eran válidas, restablecimos esas contraseñas y contactamos a los usuarios afectados para explicarles nuestras acciones. Pero a medida que seguimos investigando, concluimos que la mayoría de las credenciales comprometidas eran de cuentas que se conectaron a Slack durante la incidencia de seguridad de 2015.
Qué estamos haciendo hoy
Hoy estamos restableciendo las contraseñas de todas las cuentas que estaban activas al momento de la incidencia de seguridad de 2015, a excepción de las cuentas que utilizan inicio de sesión único (SSO) o cuyas contraseñas sí se han modificado a contar de marzo de 2015. Nada indica que alguna de estas cuentas se haya visto comprometida, pero creemos que vale la pena tomar esta medida de precaución, por más que pueda resultar molesta. Con esto no queremos minimizar la molestia que esto puede causar a los usuarios afectados. Nuestras más sinceras disculpas por ello.
Preguntas frecuentes
¿Qué tengo que hacer si Slack debe restablecer mi contraseña?
Hoy todas las cuentas activas que deben restablecer su contraseña han sido notificadas directamente con instrucciones. Si te gustaría obtener información sobre cómo restablecer tu contraseña, visita nuestro Centro de Ayuda: https://get.slack.help/hc/en-us/articles/201909068
¿Cómo puedo revisar el acceso a mi cuenta?
Todos los usuarios pueden revisar sus registros de acceso a su cuenta personal o descargarlos en un archivo de texto en la dirección https://my.slack.com/account/logs. Los propietarios y administradores suscritos a un plan de pago pueden obtener más información sobre cómo acceder a los registros de acceso de todo su espacio de trabajo en nuestro Centro de Ayuda: https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for-your-workspace
¿A quién puedo contactar si tengo más preguntas?
Si tienes otras preguntas, por favor escríbenos a la dirección security@slack.com.
¿Qué otras medidas puedo tomar para asegurar mi cuenta?
Recomendamos a todos los usuarios que utilicen la autenticación de dos factores, se aseguren de que el software de su ordenador y antivirus se encuentran actualizados, y que creen una contraseña nueva y diferente para cada servicio que utilicen o usen un administrador de contraseñas.