Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

Criminelen hebben in februari vier dagen lang toegang gehad tot een centrale database van het Amerikaanse bedrijf Slack. Ze maakten daarbij mogelijk gegevens van een onbekend aantal klanten buit, zo maakte Slack vrijdag bekend.

De database met klantgegevens bevat gebruikersnamen, e-mailadressen en wachtwoorden, die zijn versleuteld met het bcrypt-algoritme. Daarnaast omvat de database gegevens die gebruikers zelf hebben toegevoegd aan hun account. Het gaat dan om zaken als telefoonnummers en Skype-accountnamen.

Slack zegt dat de kwaadwillenden in februari naar schatting vier dagen lang toegang hadden tot de database. Het bedrijf onderzoekt de zaak weliswaar nog, maar zegt dat er voor zover bekend geen signalen zijn dat de criminelen de versleutelde wachtwoorden konden ontcijferen. Ook zouden er geen financiële gegevens zijn buitgemaakt.

Het Amerikaanse bedrijf maakt de hack nu pas bekend, omdat het eerst samenwerkte met deskundigen om de beveiliging aan te scherpen. Zo wordt onbekend verkeer geblokkeerd en is de infrastructuur onder handen genomen. Ook zijn er overheidsinstanties ingelicht om onderzoek te doen naar de strafbare feiten.

Slack adviseert alle getroffen gebruikers om tweestapsverificatie, die het nu versneld heeft geïntroduceerd, in te schakelen. Ook biedt het een 'kill switch' aan voor beheerders, zodat ze per direct alle actieve sesies kunnen beëindigen en alle wachtwoorden kunnen resetten. Wie dringende beveiligingsvragen heeft, kan contact opnemen met het bedrijf.

De communicatiedienst van Slack is met name populair bij bedrijven. De dienst koppelt tools als Hangouts, iMessage, sms, e-mail en diverse kleine diensten samen. Die worden gebundeld getoond op één plek, waar werknemers met elkaar kunnen overleggen.

Moderatie-faq Wijzig weergave

Reacties (23)

Dit is de mail die Slack mij stuurde.


Dear Nick,

We are writing to inform you that we were recently able to confirm that there was unauthorized access to a Slack database containing user profile information. We have since blocked this unauthorized access and made additional changes to our technical infrastructure to prevent future incidents. We have made all relevant details available on our blog. No specific action is required of you.

However, we have also just released Two Factor Authentication (“2FA”; also known as “two step verification”) and we strongly recommend that all users enable this feature, which provides an additional layer of security for their account. Additional details are available in our help center and you can enable 2FA directly on your account settings page.

Since the compromised system was first discovered, we have been working 24 hours a day to methodically examine, rebuild and test each component of our system to ensure it is safe. We are very aware that our service is essential to many teams. Earning your trust through the operation of a secure service will always be our highest priority. We deeply regret this incident and apologize to you and to everyone who relies on Slack for the inconvenience.

For more on our security practices and policies, see https://slack.com/security. Again, for additional information, we encourage you to read the blog post for more details.

Sincerely,
The team at Slack
De wachtwoorden zijn waarschijnlijk het minst belangrijk. Wat vooral interessant is voor data mining is wat men zoal communiceert met elkaar. Denk aan waar een development team mee bezig is bij Apple. Of bij facebook. Denk aan nieuwe ideeŽn waarin veel geÔnvesteerd is en waar de hackers nu mee aan de haal kunnen gaan door een alternatief te bouwen. Denk aan nog veel meer data die voor concurrenten veel geld waard kunnen zijn. Maar hoe zit het met deze data? Konden ze daar bij?

Nee, ik ben geen fan van dit soort diensten. En waarom slack groot geworden is, wij gebruiken het ook, is mij een raadsel. Want echt fijn werken doet het allemaal niet. Hetzelfde geldt voor Jira, Trello. Allemaal onoverzichtelijke tools die in de cloud draaien. Ik heb alleen al voor communicatie en planning nu 6/7 tabs openstaan.

Zo vind ik ook onbegrijpelijk dat het bedrijf waar ik werk op het moment gebruik maakt van private github repositories. Al onze code staat gewoon online. Eťn hack en de code en commits liggen op straat. Ook voor de concurrent.
Aangezien je JIRA gebruik kijk dan eens naar de andere tools van Atlassian. Werkt allemaal super met elkaar.Wij werken er allemaal mee intern en integreert goed in elkaar.

Vooral als je scrum gebruik is de combinatie met JIRA-Stash en Hipchat ideaal voor communicatie naar/met de developers.
Allemaal onoverzichtelijke tools die in de cloud draaien.
Dit alles je gewoon "in house" draaien, geen cloud voor nodig. Gewoon hosten op je eigen vertrouwde server(s).

[Reactie gewijzigd door defixje op 27 maart 2015 22:02]

Ik heb mogen meemaken hoe dit allemaal werkt. Helaas werkt het dus gewoon niet. Wat wij gebruikten was een combinatie van Jira, Stash en confluence, maar we hadden het ene probleem nog niet opgelost of het volgende kwam er al weer aan. Nou wil ik niet per se zeggen dat dit komt door de software van Atlassian, maar meer de server capaciteit die het nodig heeft.

Zo hadden wij voor confluence een server nodig met ontiegelijk veel werkgeheugen (12GB voor een freaking Wiki ??). Stash lag er vaker uit dan dat het werkte en JIRA had een paar eigenaardigheden waar je ook echt lang voor moest zoeken om het uit te vinden. Dit kostte ons voor een project van 2 maanden toch echt te veel tijd. we zijn toch zeker een uur per dag kwijt geweest aan het fixen van stomme problemen binnen onze omgeving.

Ga je dus voor in-house let er dan wel op dat je degelijke spes hebt om het te draaien, want het vraagt erg veel.
Zo hadden wij voor confluence een server nodig met ontiegelijk veel werkgeheugen (12GB voor een freaking Wiki ??)
Wow dat is wel erg veel ja, weet niet precies op wat voor server het bij ons draait maar we doen ook hosting dus verwacht wel een aardige bak.
Stash lag er vaker uit dan dat het werkte...
Wij hebben nog nooit een downtime ervaren, zou ook niet weten waarom deze er uit zou vliegen.
JIRA had een paar eigenaardigheden waar je ook echt lang voor moest zoeken om het uit te vinden.
Dat klopt wel inderdaad, je moet bij JIRA best veel configureren en uitzoeken maar als het eenmaal is ingericht (inderdaad na aardig wat uurtjes) werkt het super in mijn beleving.

Wel jammer dat jullie die ervaring niet delen, is dit recent? Misschien is het nog een keer het proberen waard met de nieuwe versies.

[Reactie gewijzigd door defixje op 27 maart 2015 23:54]

Dit was zo'n 10 weken vanaf eind vorig jaar tot halverwege februari oid. dus redelijk recent.

Vooral het instellen is een drama als je verwacht dat dit al gedaan is (aangezien ons niet werd verteld dat dit nog allemaal geregeld moest worden van te voren).
Vreemd. Ik weet niet met hoeveel content en access je te maken hebt, maar voor 25 man kan JIRA, Stash, Confluence en Bamboo prima draaien op 4 VM's met 4 cores en 3GB RAM per stuk, samen met een nginx+varnish frontend er voor.
Dat zou best kunnen. Wij zaten met een aantal projectgroepen (stuk of 15-20) op die server. Met gemiddeld 7 accessors per groep gaat het dan erg hard. Marja dit is niet allemaal tegelijk natuurlijk.
Hipchat is echt dramatisch buggy. Absoluut geen aanrader.
Weer een goede herinnering om geen gevoelige (inlog)data te delen over thirdparty spullen...
Stack is toch zo'n zelfde dienst als pushbullet?

Helaas heb je bij dit soort diensten altijd een risico als het gaat via een Cloud van een derde. Wat eigenlijk idealer zou zijn qua veiligheid, dat je een lokale afhandelaar hebt van al die communicatiestromen. Dus dat ze direct, naar je eigen apparaat lopen, op je eigen apparaat gebundeld worden, en dat je ze via je apparaat, via of, een veilige internet verbinding, of direct, via alleen het netwerk waar je apparaat op zit.

Dan kun je toch alle communicatie stromen zien, zonder dat je het risico loopt dat je hebt als je al je communicatiestromen bij een derde onderbrengt.
Eigenlijk precies wat XMPP doet :)
Echt super jammer dat dit (door een berg politiek) nooit is aangeslagen. Zou echt ideaal zijn, zo'n uitbreidbaar en decentraal IM systeem.

Op het moment wordt ik nogal gestoord van de enorme versnippering in IM land. iMessage, SMS, WhatsApp, Telegram, Facebook Messenger, ICQ (jaja :) ), Hangouts, Slack, IRC. Met in totaal iets van 5 verschillende clients.

Technisch is dat allemaal prima beter te regelen, alleen is de wil er niet bij de Apples, Googles en Facebooks van deze wereld...
Volgens mij zijn iMessage, WhatsApp, Facebook Messenger en ik dacht ook Telegram allemaal al XMPP systemen. Het verschil zit hem in de encryptie en centralisatie.

Alleen Facebook Messenger kan je nog zonder meer met een random XMPP client gebruiken, WhatsApp moet je een beetje hacken om de gegevens te krijgen en iMessage is niet gekraakt dus daar is geen custom client voor te regelen. Telegram is vrij open dus kan je prima integreren in een bestaande XMPP client door de Telegram extensies toe te voegen.
Volgens mij staat daar vooral dat je het niet meer kan gebruiken, het verkeer zelf zou best nog wel eens gewoon XMPP kunnen blijven.

Waarschijnlijk zijn ze het dicht aan het timmeren om dat ze features willen toevoegen/uitbreiden buiten de XMPP spec en veel meer data blootstellen via de XMPP API dan dat ze publiekelijk toegankelijk willen maken.
Volgens mij heeft Telegram een eigen protocol en gebruiken ze geen XMPP.
WhatsApp gebruikt een aangepaste (binaire) versie van XMPP om het dataverbruik te beperken, en heeft een aantal proprietaire extensies voor dingen als het zoeken op telefoonnummer, en push notifications. Is dus niet compatibel met standaard XMPP.

Facebook gebruikt intern al een tijdje geen XMPP meer - dit was slechts nog een gateway voor gebruikers.

Met de rest ben ik niet bekend.
Ik heb:
  • Facebook
  • Whatsapp
  • Bbm
  • Gmail
  • Hotmail
  • 2 andere mailproviders
  • 1 Pgpmail
  • Meldingen van apps(android+native)
  • En andere zaken
Wel allemaal in 1 cliŽnt/interface, waarin je alle berichtenstromen ook direct kan beantwoorden*. En daarnaast kun je via een beveiligde ftp/vpn?? verbinding ook een 'brug' bouwen naar een pc of tablet, om daar practisch al je berichtenstromen te laten zien en te kunnen beantwoorden. Zonder Cloud. Alleen zijn de applicaties niet open source als Jabber.
Ik heb geen BlackBerry Hub. Ik wil eigenlijk ook geen BlackBerry, dus dan krijg ik die hub ook niet. Jammer dat het dus geen echte oplossing voor de rest van de mensen is.
Je hebt ook geen BlackBerry nodig om de hub te hebben.
BlackBerry levert de hub in haar productivity suite ook voor

[Reactie gewijzigd door nul07 op 27 maart 2015 23:09]

Toch begrijp ik niet helemaal waarom je zoiets risicovols als ťťn Slack 'to rule them all' nodig zou hebben. Ik heb al een plek waar alle voor mij nuttige informatiestromen bij elkaar komen, namelijk mijn smartphone. En mijn pc. Dat zijn al hubs, wat schiet ik ermee op om die stromen al in een 3rd party cloud bij elkaar te brengen? Er zijn vast verschillende van dit soort hubclouds; is er ook een markt voor iets wat dat dan weer bundelt, een hubhub? Waar houdt het op?
Quote"Slack zegt dat de kwaadwillenden in februari naar schatting vier dagen lang toegang hadden tot de database."

Veel vertrouwen krijg je hier niet in... ze hebben het een maand in onderzoek, nu wel al volledig 'dicht', maar achterhalen hoelang men binnen is geweest lukt niet.
Ik zal het wel verkeerd lezen oid maar ik dacht dat je eigen quote al een stuk bevat waarin ze zeggen hoelang het zou zijn geweest... (4 dagen...)
Tenzij je verwacht dat de hackers ze een kerstkaart sturen met daarin het exact aantal seconden dat ze toegang hadden :p

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True