Slack 密碼重設通知

我們於 2022 年 8 月 4 日傳送通知給 0.5% 左右的 Slack 使用者，並在訊息中告知，他們為工作空間建立或撤銷共用的邀請連結時，系統曾發生程式異常現象，而針對這起事件，我們已為其重設密碼。具體來說，使用者執行上述任一項操作時，Slack 意外將經過雜湊處理的密碼傳送給其他工作空間成員。所有 Slack 用戶端都無法直接查看這組經過雜湊處理的密碼。若非主動監控來自 Slack 伺服器的加密網路流量，不會發現這組密碼。一位安全性獨立研究人員發現了這個程式異常現象，並在 2022 年 7 月 17 日向我們揭露這個問題。曾於 2017 年 4 月 17 日到 2022 年 7 月 17 日期間建立或撤銷共用邀請連結的所有使用者，都是此事件影響的對象。

收到安全性研究人員的通報後，我們立即修正了這項根本的程式異常問題，並隨即著手調查這項問題可能會對客戶造成什麼影響。合理情況下，我們認為不會有任何人因為這個問題而取得純文字格式的密碼。話雖如此，為了安全起見，我們已為受影響的使用者重設 Slack 密碼。這些使用者必須設定新的 Slack 密碼，才能再次登入。

常見問答集

什麼是經過雜湊處理的密碼？

密碼的雜湊與純文字的密碼本身並不相同，雜湊是一種安全儲存資料的加密技術，內容一旦經過雜湊處理即無法復原。換句話說，實務上沒有任何人可以從雜湊中擷取密碼，也無法直接使用雜湊來驗證身分。我們還使用 Salt 技術，進一步保護這些雜湊內容。

如果我的密碼遭 Slack 重設，我該怎麼做？

Slack 已直接通知所有需要重設密碼的有效帳號，通知中附有相關操作指示。如在任何時候需要密碼重設的相關資訊，請造訪我們的說明中心：https://get.slack.help/hc/en-us/articles/201909068。

如何檢視帳號的存取情形？

使用者只要隨時前往 https://my.slack.com/account/logs，就能檢視帳號的個人存取日誌或下載完整的 CSV 報告。所有付費方案的擁有者和管理員都能前往我們的說明中心，深入瞭解如何檢視其工作空間的存取日誌，網址為：https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for-your-workspace。

如果還有其他疑問，該如何尋求協助？

如果你對本文所述內容以外的議題有任何疑問，請寄送電子郵件至 feedback@slack.com 與我們聯絡。

我還能採取哪些步驟，進一步保護我的帳號？

建議所有使用者採用雙因素驗證、確認電腦軟體和防毒軟體處於最新狀態、為所使用的每種服務建立不重複的全新密碼，以及善用密碼管理工具。