Android ユーザーの皆さまへのお知らせ

アメリカ西海岸時間の 2 月 5 日（金）、Slack のごく一部の Android ユーザーに対してパスワードをリセットしたことを通知しました。これは、認証情報がプレーンテキストに記録されるというバグが起こったためです。

その後、この同じバグによる影響を受けたユーザーが新たに判明しました。これらのユーザーに対して、3 月 25 日（木）に通知を送信しました。

リセットの対象となったのは、2021 年 1 月 11 日から 2021 年 1 月 20 日までの間にパスワードを入力した、ごく一部の Android ユーザーです。大半のモバイルユーザーはまれにしかサインインしないため、大多数の Android ユーザーには影響がありませんでした。また、シングルサインオン（SSO）プロバイダーを利用してログインしているユーザーへの影響はまったくありません。

プレーンテキストに記録されたパスワードが漏えいしたリスクは非常に低く、該当するアカウントへの不正アクセスや第三者によるアクセスの形跡はありません。しかし Slack では慎重を期すためにこの対応を取りました。該当のパスワードはローカルデバイスのログに記録され、そのデバイスの Slack アプリでのみ確認できる状態でした。Android デバイスが正常に動作していれば、ほかのアプリがこれらのログにアクセスすることはできません。さらにこれらのログの容量は 512KB に制限されているため、すぐに上書きされるようになっています。

現時点では、通知を受けた Android ユーザーが何か追加で対応する必要はありません。Slack では該当するすべてのパスワードをリセットしたうえで、影響を受けた Android アプリのバージョンを使っている皆さまに対して修正済みバージョンにアップグレードするよう依頼しました。また該当するユーザーとワークスペースのプライマリーオーナーにはこの問題を通知済みです。Slack のパスワードをリセットする方法については、Slack ヘルプセンターのこちらの記事を参照してください。

チームのセキュリティやコミュニケーションのプライバシーを守ることは、私たちにとって重要です。ご迷惑をかけたことを心よりお詫びします。