Venerdì 5 febbraio abbiamo comunicato a un ridotto gruppo di utenti Android di Slack che la loro password era stata reimpostata a causa di un bug che registrava le credenziali in testo normale.
Successivamente, abbiamo individuato un nuovo gruppo di utenti che sono stati interessati dallo stesso bug. Abbiamo pertanto inviato una notifica a questi utenti giovedì 25 marzo.
Questo ripristino ha coinvolto solo un numero limitato di utenti Android che hanno inserito la password tra l’11 gennaio 2021 e il 20 gennaio 2021. Molti utenti di dispositivi mobili accedono raramente, quindi la maggior parte dei nostri utenti Android non è stata interessata da questa azione. Gli utenti che accedono tramite un provider Single Sign-On (SSO) non sono stati minimamente coinvolti.
Slack ha intrapreso questa azione per un eccesso di cautela, sebbene il rischio di esposizione di queste password registrate fosse estremamente basso e non ci siano prove di accessi non autorizzati o di terze parti agli account interessati. Le password sono state registrate nei log dei dispositivi locali che sono visibili solo all’app Slack sul dispositivo. Su un dispositivo Android che funziona correttamente non vi sono rischi che altre app possano vedere questi log. Inoltre, lo spazio per questi log è limitato a 512 KB e possono essere sovrascritti rapidamente.
In questo momento non sono necessarie ulteriori azioni da parte degli utenti Android coinvolti. Slack ha ripristinato tutte le password note registrate, ha richiesto agli utenti con la versione interessata di eseguire l’aggiornamento a una versione corretta dell’app Android e ha informato gli utenti e i proprietari principali della loro area di lavoro del problema. Per ulteriori informazioni sul ripristino delle password di Slack, consulta questo articolo nel Centro assistenza di Slack.
La sicurezza del tuo team e la privacy delle tue comunicazioni sono molto importanti per noi. Ci scusiamo per eventuali inconvenienti.