Le vendredi 5 février, nous avons informé une petite partie des utilisateurs Android de Slack que nous avions réinitialisé leur mot de passe. Cela faisait suite à un bug ayant entraîné l’enregistrement de leurs identifiants en texte brut dans les journaux système.
Par la suite, nous avons identifié un nouveau sous-ensemble d’utilisateurs qui ont été touchés par le même bug. Nous avons envoyé des notifications à ces utilisateurs le jeudi 25 mars.
Cette réinitialisation n’a impacté qu’un très petit nombre d’utilisateurs Android ayant saisi leur mot de passe entre le 11 et le 20 janvier 2021. Comme la plupart des utilisateurs mobiles ne se connectent pas régulièrement, l’immense majorité de nos utilisateurs Android n’est pas concernée. Les utilisateurs qui se connectent via une authentification unique ont été complètement protégés.
Même si le risque d’exposition de ces mots de passe enregistrés est très faible, et qu’aucun accès non autorisé par une tierce partie n’a été constaté sur les comptes impactés, Slack a considéré que l’on n’est jamais trop prudent. Le mot de passe a été enregistré dans le journal de l’appareil concerné, il n’est donc visible que sur l’application Slack de l’appareil. Sur un appareil sous Android fonctionnant normalement, il n’y a aucun risque que d’autres applications puissent accéder à ces journaux. En outre, l’espace alloué à ces journaux est limité à 512 Ko, avec écrasement des données les plus anciennes. Les mots de passe ont donc certainement été supprimés assez rapidement.
Les utilisateurs Android qui ont reçu la notification n’ont pour l’heure aucune autre démarche à engager. Slack a réinitialisé tous les mots de passe qui ont été enregistrés dans les journaux, a exigé des utilisateurs de la version concernée de l’application Android qu’ils effectuent la mise à jour corrigée, et a notifié ces utilisateurs du problème, ainsi que les propriétaires principaux de leurs espaces de travail respectifs. Pour plus d’informations sur la réinitialisation des mots de passe Slack, veuillez vous reporter à cet article du centre d’assistance de Slack.
Garantir la sécurité de votre équipe et la confidentialité de vos communications est une priorité pour nous. Nous vous présentons nos plus sincères excuses pour la gêne occasionnée.