Хакер #305. Многошаговые SQL-инъекции
В начале 2015 года разработчики корпоративного мессенджера Slack уведомили пользователей о том, что неизвестные злоумышленники смогли взломать компанию и получили неавторизованный доступ к инфраструктуре и базе данных пользователей (и оставались в системе примерно четыре дня).
Тогда сообщалось, что похищенные пароли пострадавших были хэшированы функцией bcrypt со случайной солью (это достаточно надежный метод), но помимо этого атакующие внедрили на сайт компании свой код для захвата незашифрованных паролей. В итоге разработчики сбросили пароли для людей, которых могла затронуть атака, внедрили поддержку двухфакторной аутентификации для всех учетных записей, а также попросили всех пользователей по возможности поменять пароли.
Как стало известно теперь, у Slack неожиданно появились новые данные об этом инциденте четырехлетней давности. Официальное заявление компании гласит, что недавно неназванный доброжелатель обратился к компании через bug bounty программу и прислал разработчикам порцию учетных данных пользователей. Проверка показала, что многие вошедшие в этот дамп адреса электронной почты и пароли до сих пор действительны, поэтому разработчики поспешили обнулить их.
Сначала инженеры Slack предположили, что эти учетные данные были собраны на машинах, зараженных малварью, или являются результатом повторного использования одних и те же паролей. Однако дальнейшее расследование выявило, что большинство этих учетных данных были скомпрометированы еще во время взлома 2015 года.
Хотя полученный разработчиками дамп включал в себя примерно 65 000 паролей, в компании приняли решение сбросить пароли для всех пользователей, активных на момент инцидента 2015 года (за исключением людей, уже менявших пароль с тех пор и использующих SSO-решения).
В результате компания заявила, что сбросит пароли примерно для 1% пользователей. Учитывая, что пользовательская база Slack насчитывается примерно 10 000 000 человек, обнуление паролей затрагивает около 100 000 из них.
В компании подчеркивают, что это лишь мера предосторожности и у Slack нет оснований полагать, что какие-то из пострадавших учетных записей подвергались взлому.