2FA angekündigt

Nutzerdatenbank von Slack gehackt

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Das angesagte Collaboration-Startup Slack musste Ende vergangener Woche einen Einbruch in seine Nutzerdatenbank einräumen.

Und zwar ausgerechnet am gleichen Tag, als das "Wall Street Journal" den bevorstehende Abschluss eine neuen Finanzierungsrunde mit binnen fünf Monaten mehr als verdoppelter Firmenbewertung vermeldete. Im Firmenblog schrieb Slack, Hacker hätten sich im Februar 2015 vier Tage lang Zugriff auf die Nutzerdatenbank verschafft. Diese enthält unter anderen Anmeldenamen, E-Mail-Adressen und einwegverschlüsselte ("gehashte") Passwörter sowie weitere Daten wie Telefonnummern und Skype-IDs, die Nutzer optional in ihre Profile eingetragen haben.

Stewart Butterfield, Gründer und CEO von Slack
Stewart Butterfield, Gründer und CEO von Slack
Foto: Slack

Slack hasht die Passwörter mit bcrypt und einem jeweils zufallsgenerierten "Salt", was eine Wiederherstellung des Passworts aus der gehashten Form praktisch unmöglich macht. Es gebe auch keinerlei Hinweise darauf, dass die Angreifer in der Lage gewesen seien, in der Datenbank gespeicherte Passwörter zu entschlüsseln, heißt es weiter. Im Zuge der Ermittlungen nach dem Cyber-Einbruch habe man allerdings "verdächtige Aktivitäten bei einer sehr kleinen Zahl von Slack-Accounts" festgestellt und deren Inhaber direkt kontaktiert.

Eines der Killer-Features von Slack ist die mächtige Suche
Eines der Killer-Features von Slack ist die mächtige Suche
Foto: Slack

Slack hat auch nach Rücksprache mit externen Experten seine Infrastruktur weiter abgesichert, um künftige Hacker-Angriffe zu verhindern. Außerdem hat der Anbieter früher als eigentlich geplant eine Zwei-Faktor-Authentifizierung (2FA) eingeführt - die alle Nutzer möglichst verwenden sollten - und für Team-Owner einen "Password Kill Switch", mit dem sich auf einen Schlag teamweit die Passwörter zurücksetzen und Sessions erwungen beenden lassen.