Slack 標誌
新聞

Slack 密碼重設通知

Slack 團隊2022 年 8 月 4 日

我們於 2022 年 8 月 4 日傳送通知給 0.5% 左右的 Slack 使用者,並在訊息中告知,他們為工作空間建立或撤銷共用的邀請連結時,系統曾發生程式異常現象,而針對這起事件,我們已為其重設密碼。具體來說,使用者執行上述任一項操作時,Slack 意外將經過雜湊處理的密碼傳送給其他工作空間成員。所有 Slack 用戶端都無法直接查看這組經過雜湊處理的密碼。若非主動監控來自 Slack 伺服器的加密網路流量,不會發現這組密碼。一位安全性獨立研究人員發現了這個程式異常現象,並在 2022 年 7 月 17 日向我們揭露這個問題。曾於 2017 年 4 月 17 日到 2022 年 7 月 17 日期間建立或撤銷共用邀請連結的所有使用者,都是此事件影響的對象。

收到安全性研究人員的通報後,我們立即修正了這項根本的程式異常問題,並隨即著手調查這項問題可能會對客戶造成什麼影響。合理情況下,我們認為不會有任何人因為這個問題而取得純文字格式的密碼。話雖如此,為了安全起見,我們已為受影響的使用者重設 Slack 密碼。這些使用者必須設定新的 Slack 密碼,才能再次登入。

常見問答集

什麼是經過雜湊處理的密碼?

密碼的雜湊與純文字的密碼本身並不相同,雜湊是一種安全儲存資料的加密技術,內容一旦經過雜湊處理即無法復原。換句話說,實務上沒有任何人可以從雜湊中擷取密碼,也無法直接使用雜湊來驗證身分。我們還使用 Salt 技術,進一步保護這些雜湊內容。

如果我的密碼遭 Slack 重設,我該怎麼做?

Slack 已直接通知所有需要重設密碼的有效帳號,通知中附有相關操作指示。如在任何時候需要密碼重設的相關資訊,請造訪我們的說明中心:https://get.slack.help/hc/en-us/articles/201909068

如何檢視帳號的存取情形?

使用者只要隨時前往 https://my.slack.com/account/logs,就能檢視帳號的個人存取日誌或下載完整的 CSV 報告。所有付費方案的擁有者和管理員都能前往我們的說明中心,深入瞭解如何檢視其工作空間的存取日誌,網址為:https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for-your-workspace

如果還有其他疑問,該如何尋求協助?

如果你對本文所述內容以外的議題有任何疑問,請寄送電子郵件至 feedback@slack.com 與我們聯絡。

我還能採取哪些步驟,進一步保護我的帳號?

建議所有使用者採用雙因素驗證、確認電腦軟體和防毒軟體處於最新狀態、為所使用的每種服務建立不重複的全新密碼,以及善用密碼管理工具。

    這則貼文有幫助嗎?

    0/600

    超讚!

    非常感謝你提供意見回饋!

    知道了!

    感謝你提供意見回饋。

    糟糕!我們遇到問題了。請稍後再試一次!