Slack의 Android 사용자 중 일부에게 자격 증명이 일반 텍스트로 기록되는 버그가 발생했습니다. Slack은 이에 대응하기 위해 2월 5일 금요일에 영향을 받은 사용자에게 해당 비밀번호를 재설정했음을 통지했습니다.
이후, 동일한 버그의 영향을 받은 소수 사용자를 파악했습니다. 3월 25일 목요일에 해당 사용자에게 알림을 보냈습니다.
비밀번호가 재설정된 사용자는 2021년 1월 11일부터 2021년 1월 20일 사이에 비밀번호를 입력한 Android 사용자로, 그 수는 1% 미만의 극소수에 불과합니다. 대부분의 모바일 사용자는 자주 로그인하지 않기 때문에 Android 사용자의 대다수는 영향을 받지 않았습니다. SSO(Single-Sign-On) 공급업체를 통해 로그인한 사용자는 전혀 영향을 받지 않았습니다.
이러한 기록된 비밀번호가 노출될 위험이 매우 낮았고 영향을 받은 계정에 대한 무단 액세스 또는 제3자에 의한 액세스의 증거가 없었음에도, Slack은 충분히 주의를 기울이는 차원에서 이와 같은 조치를 취했습니다. 비밀번호는 기기에서 Slack 앱에만 표시되는 로컬 기기 로그에 기록되었습니다. 정상적으로 작동하는 Android 기기에서는 다른 앱이 이러한 로그를 볼 수 있는 위험이 없습니다. 게다가, 이러한 로그에 대한 공간은 512KB로 제한되며 해당 로그는 빠르게 덮어 쓰일 수 있습니다.
현재 관련 통지를 받은 Android 사용자가 반드시 취해야 할 추가적인 조치는 없습니다. Slack은 알려진 기록된 비밀번호를 모두 재설정했으며, 사용자에게 영향을 받은 버전에서 버그가 수정된 Android 앱 버전으로 업그레이드하도록 요청했으며, 사용자 및 워크스페이스의 주 소유자에게 문제에 대해 통지했습니다. Slack 비밀번호 재설정에 대한 자세한 내용은 Slack 고객지원센터에 있는 이 문서를 참조하세요.
Slack은 귀하 팀의 보안과 귀하의 커뮤니케이션 프라이버시를 중요하게 여깁니다. 불편을 드려 진심으로 죄송합니다.