Sicherheitsproblem von 2015 Slack setzt Zehntausende Nutzer-Passwörter zurück

2015 gab es einen unbefugten Zugriff auf eine Slack-Datenbank. Jetzt - vier Jahre später - setzt der Dienst als Reaktion darauf Passwörter zurück. Betroffen sind aber längst nicht alle Accounts.

Christoph Dernbach / DPA

Bei etwa einem Prozent aller Konten weltweit setzt Slack das Passwort zurück. Das hat der Messaging-Anbieter am Donnerstag bekanntgegeben. Die Rede ist von "einer Reaktion auf neue Informationen über den Sicherheitsvorfall im Jahr 2015".

Im März 2015 hatte Slack bestätigt, dass es einen unbefugten Zugriff auf eine Nutzer-Datenbank des Unternehmens gegeben hatte. Die Datenbank enthielt unter anderem Nutzernamen, E-Mail-Adressen und auch Passwörter, wenn auch in verschleierter Form. Über eine sogenannte Hash-Funktion waren sie in eine zufällig aussehende Abfolge von Zeichen umgewandelt worden.

Als Slack das Sicherheitsproblem bekannt machte, hieß es noch, ein Rücksetzen des Passworts sei nur für jene Nutzer zwingend nötig, mit denen Slack wegen des Vorfalls in Kontakt tritt. Jetzt, mehr als vier Jahre später, hat das Unternehmen offenbar einen anderen Blick auf die Geschehnisse.

Zum Festlegen eines neuen Passworts werden demnach Nutzer aufgefordert, auf die folgende Kriterien zutreffen:

  • Ihr Account wurde vor März 2015 erstellt.
  • Das Passwort ist seitdem dasselbe geblieben.
  • Der Account erfordert kein einmaliges Anmelden über einen sogenannten Single-Sign-On-Anbieter (SSO).

"Mit anderen Worten, wenn du zu den rund 99 Prozent gehörst, die erst nach dem März 2015 damit begonnen haben, Slack zu benutzen, oder du seitdem dein Passwort geändert hast, ist diese Mitteilung für dich nicht relevant", betont Slack.

Zehntausende Nutzer betroffen

Umgekehrt lässt sich sagen: Für alle anderen Nutzer ist die Meldung sehr relevant. Slack selbst gab im Februar an, inzwischen mehr als zehn Millionen täglich aktive Nutzer zu haben. Der Passwort-Reset betrifft also mindestens mehrere Zehntausend, womöglich auch mehr als hunderttausend Accounts. Das Aktivieren der sogenannten Zwei-Faktor-Authentifizierung, mit der sich Accounts besser schützen lassen als nur mit einem Passwort, empfiehlt Slack übrigens allen Nutzern.

Zur Erklärung seines jetzigen Vorstoßes schreibt das Unternehmen, es sei von jemandem mit Informationen "über potenziell kompromittierte Slack-Anmeldedaten" kontaktiert worden. Durch Untersuchungen habe man dann festgestellt, dass die Mehrheit jener Anmeldedaten von Accountinhabern stammte, die sich während des Sicherheitsvorfalls im Jahr 2015 bei Slack eingeloggt hatten.

"Wir haben keinen Grund zu der Annahme, dass irgendeiner dieser Accounts kompromittiert wurde", schreibt Slack, "aber wir glauben, dass diese Vorsichtsmaßnahme alle Unannehmlichkeiten wert ist, die das Zurücksetzen der Passwörter mit sich bringen könnte."

mbö

Mehr zum Thema


zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.