Slack reset wachtwoorden van deel gebruikers na diefstal gegevens in 2015

Slack gaat de wachtwoorden van een aantal gebruikers resetten naar aanleiding van een digitale inbraak op de systemen van de dienst uit 2015. Volgens Slack is van ongeveer een procent van alle gebruikers het wachtwoord buitgemaakt.

Het bedrijf zegt tegen TechCrunch dat het onlangs op de hoogte werd gebracht van een lijst met wachtwoorden die tijdens een datalek in maart 2015 zijn buitgemaakt. Dat lek was al bekend, maar destijds werd er gedacht dat alleen de gehashte wachtwoorden waren buitgemaakt. Nu blijkt dat de hackers code hebben gebruikt waarmee de wachtwoorden ook in plaintext te onderscheppen waren, schrijft het bedrijf in een blogpost.

Het gaat om een groep gebruikers die vóór maart 2015 een account hebben aangemaakt bij de chat-app. Gebruikers die van single sign-on gebruik maakten zijn niet getroffen. Volgens Slack zou het gaan om één procent van alle gebruikers die het bedrijf in 2015 had. Slack heeft de wachtwoorden gereset van alle accounts die dat sinds 2015 niet hebben gedaan. Getroffen accounts krijgen een waarschuwing van het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-07-2019 16:32 41

18-07-2019 • 16:32

41

Lees meer

Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update
Ticketmaster reset wachtwoorden na verdachte inlogpogingen - update Nieuws van 12 februari 2020
Gehashte wachtwoorden van 14 miljoen Hostinger-klanten zijn uitgelekt
Gehashte wachtwoorden van 14 miljoen Hostinger-klanten zijn uitgelekt Nieuws van 26 augustus 2019
Data van honderd miljoen Amerikanen gestolen via datalek bij Capital One-bank
Data van honderd miljoen Amerikanen gestolen via datalek bij Capital One-bank Nieuws van 30 juli 2019
Hellevoetsluis liet ambtsdocumenten met persoonlijke informatie uitlekken
Hellevoetsluis liet ambtsdocumenten met persoonlijke informatie uitlekken Nieuws van 26 juli 2019
Nieuwe versie van Slack verbruikt minder werkgeheugen en is sneller
Nieuwe versie van Slack verbruikt minder werkgeheugen en is sneller Nieuws van 23 juli 2019
WizzAir reset wachtwoorden van klanten uit voorzorg na technische problemen
WizzAir reset wachtwoorden van klanten uit voorzorg na technische problemen Nieuws van 19 juli 2019
Chat-app Slack heeft uren last van storing
Chat-app Slack heeft uren last van storing Nieuws van 28 juni 2019
Slack laat collega's die dienst niet gebruiken antwoorden per e-mail
Slack laat collega's die dienst niet gebruiken antwoorden per e-mail Nieuws van 25 april 2019
Chatdienst Slack heeft opnieuw storing in Europa - update
Chatdienst Slack heeft opnieuw storing in Europa - update Nieuws van 8 november 2018
Slack koopt bedrijf om e-mail in chatapp te integreren
Slack koopt bedrijf om e-mail in chatapp te integreren Nieuws van 24 september 2018
Meer producten en artikelen
Networking en security Datalek Slack

Reacties (41)

-Moderatie-faq
41
41
26
3
0
6
Wijzig sortering

Sorteer op:

Weergave:
wica 18 juli 2019 16:39
Gehashte wachtwoorden, zijn alleen maar vertragend. En afhankelijk van hoeveel geduld iemand heeft of hoeveel geld die er voor over heeft.

Maar fijn, 4 jaar na dato.
Mel33 @wica18 juli 2019 16:40
Al 4 jaar je ww niet veranderd dan?
Blokker_1999
@Mel3318 juli 2019 16:42
Voldoende security experts die daar geen probleem mee hebben. Ikzelf ook niet. Wachtwoorden veranderen om te veranderen is vrij zinloos imho. Voorkom liever hergebruik van wachtwoorden zodat de diefstal bij de ene dienst geen invloed heeft op de andere.
DigitalExorcist @Blokker_199918 juli 2019 17:37
Juist vanwege het risico op diefstal en lekken is het periodiek wijzigen juist goed. Ja hergebruik is een groter probleem, maar beiden doen is niet meer dan normaal lijkt me.
jetspiking Freelanceredacteur @DigitalExorcist18 juli 2019 17:54
Het periodiek wijzigen van wachtwoorden is in feite al achterhaald. Mensen kiezen hierdoor steeds simpelere wachtwoorden blijkt in de praktijk.

https://www.security.nl/p...angen+van+wachtwoorden+af
https://www.security.nl/p...orden+zo+goed+als+zinloos
https://www.techzine.nl/n...eriodiek-te-wijzigen.html

Via haveibeenpwned kun je gemakkelijk checken (en notificaties ontvangen als ik mij niet vergis) of je wachtwoord gehackt is. Je kunt het vervolgens op de betreffende site gemakkelijk wijzigen.
Unsocial Pixel @jetspiking18 juli 2019 19:46
Ik wijzig meerdere keren per jaar me wachtwoorden, zijn allemaal compleet verschillend, allemaal tussen de 14 en de 50 karakters en nooit ook maar 1 wachtwoord hergebruikt. Daaarnaast obviously veel 2 traps, kan het nog beter? Tuurlijk maar er moet ook een balans zijn he.
jetspiking Freelanceredacteur @Unsocial Pixel18 juli 2019 20:33
Waarom zou je jouw wachtwoord wijzigen als er geen tekens van inbraak zijn op je account, en je een uniek wachtwoord voor iedere site hebt? Dat heeft totaal geen zin en maakt het dus voor de _gemiddelde_ gebruiker alleen maar lastiger (waardoor dus korte wachtwoorden ontstaan).

Het is daarnaast helemaal niet veiliger om een wachtwoord iedere keer te wijzigen, je kan beter gewoon één keer een goed wachtwoord aanmaken (per site).
mokkol @jetspiking18 juli 2019 20:58
Omdat je niet altijd weet of een site gehacked is. Omdat de eigenaar van de site het vaak niet door heeft en/of ze het niet openbaar willen maken.
jetspiking Freelanceredacteur @mokkol18 juli 2019 21:04
Een site kan net zo goed gehackt worden met het nieuwe veranderde wachtwoord, dan heeft een aanvaller ook al jouw data, een wachtwoord veranderen gaat daar niets tegen doen.

Het enige wat je ermee bereikt is dat na een halfjaar de aanvaller geen toegang meer heeft tot jouw account, maar dan ben je al te laat, en heeft de aanvaller jouw data al te pakken.

In hoeverre is een jaar aan data meer waard dan een halfjaar aan data is dan de hamvraag.
Zoop @jetspiking18 juli 2019 19:24
(Zover bekend natuurlijk, want niet elk gehacked wachtwoord verschijnt per definitie (direct) op havibeenpwned)
Alex3 @jetspiking19 juli 2019 14:44
Dat zou handig zijn als haveibeenpwned aangaf welke site gehackt is, maar anders moet ik 200 wachtwoorden veranderen.
mark-k @DigitalExorcist18 juli 2019 17:45
Periodiek wijzigen werkt juist dingen als herhalen van wachtwoorden etc in de hand. Als je elke 3 maanden al je wachtwoorden moet veranderen vergeet je ze waardoor je ze of gaat opschrijven, of maar miniem wijzigt (genoeg mensen die maar 1 letter aanpassen), of gewoon op meerdere plaatsen dezelfde gebruikt.
Webgnome @mark-k18 juli 2019 18:12
password managers?
Lagonas @Webgnome18 juli 2019 18:38
Als je zoals ikzelf Thuis een windows computer hebt, op werk een windows computer + MacBook, een iPhone als telefoon en nog een Android tablet, dan is dat alles behalve makkelijk. Ja, ik zou lastpass op allemaal kunnen zetten, maar ik vond die iOS browser drie keer niks.

Het hele wachtwoord veranderen principe vind ik vooral achterhaald en averechts werken. Ik heb een collega op werk die “qwertyuioP1” als wachtwoord had, en daarna veranderde naar “asdfghjkL1”. Waarom security dat toe laat is me een raadsel overigens. Ik merk aan mezelf dat ik ook veel makkelijkere wachtwoorden op werk gebruik dan op andere account, enkel door de verander plicht. Het zijn wel random tekens, maar ik verander 1 teken (elke keer een andere) naar wat anders.

[Reactie gewijzigd door Lagonas op 23 juli 2024 10:22]

supersnathan94
@Lagonas18 juli 2019 21:25
Omdat men vaak van de logische alfabet volgorde uitgaat bij het bedenken van de password rules.

“Asdfghjkl1qwertyuioP5zxcvbnm0!” Is normaal gesproken een enorm sterk wachtwoord.
supersnathan94
@Webgnome18 juli 2019 18:19
Ja want dat werkt altijd en op ieder apparaat. Niet dus.

Ik gebruik zelf iCloud keychain, maar als ik dus m’n telefoon niet bij de hand heb dan zou ik echt geen enkel idee hebben wat m’n wachtwoord is. Voor kritieke diensten heb ik dus goede wachtwoorden die ik wel kan onthouden en extra verificatie in de vorm van tokens zodat ik bij diefstal van telefoon of laptop wel dingen kan gebruiken op een apparaat van iemand anders.
killerfreak @supersnathan9418 juli 2019 19:41
Probeer Bitwarden eens. Ik gebruik het op mijn PC en mobiel via firefox en dat werktwerkt uitstekend. Je kunt url's aan je logins koppelen waardoor je gelijk als je op een invoerveld klikt een knop verschijnt die bitwarden opent. Na het invoeren van je hoofdwachtwoord wordt automatisch de goede login voorgeschoteld, erop klikken en je gebruikersnaam en wachtwoord zijn ingevuld op de website/ in de app die je bezoekt. Het ondersteund ook 2 traps authenticatie voor extra beveiliging.
supersnathan94
@killerfreak18 juli 2019 21:23
Het punt is dat die password managers niet werken op het moment dat je op een onbekend device zit. En daar dan de hele manager op installeren en hoofdpassword invoeren vind ik zelf onveiliger dan een paar kritieke passwords uit mijn hoofd kennen.
killerfreak @supersnathan9418 juli 2019 21:32
Je kunt bitwarden ook via een website benaderen: https://vault.bitwarden.com/#/

Dat is dus op elk device met een internetverbinding en browser te gebruiken.
supersnathan94
@killerfreak19 juli 2019 07:37
Dat snap ik, maar dan nog vind ik het geen goed idee om op een onbekend device een wachtwoord in te voeren waarmee je je hele hebben en houwen basically open en bloot stelt. Als dat hoofdwachtwoord wordt opgeslagen door de browser of malware op die pc dan ben je echt de sjaak.

En stel dat die pw manager gehacked wordt? Dat is ook al eens gebeurt dat een online vault onderuit ging en alles op straat lag.
killerfreak @supersnathan9419 juli 2019 09:46
Dat snap ik, maar dan nog vind ik het geen goed idee om op een onbekend device een wachtwoord in te voeren waarmee je je hele hebben en houwen basically open en bloot stelt. Als dat hoofdwachtwoord wordt opgeslagen door de browser of malware op die pc dan ben je echt de sjaak.
Daarom de mogelijkheid om 2FA te gebruiken. Leuk dat ze dan je wachtwoord weten, maar daar kunnen ze dan niets mee.
En stel dat die pw manager gehacked wordt? Dat is ook al eens gebeurt dat een online vault onderuit ging en alles op straat lag.
Dat is inderdaad een nadeel van het gebruik vanvan een password manager. Het is altijd een afweging tussen veiligheid en gebruiksgemak. Ik denk dat het voor veel mensen veiliger is zo'n password manager te gebruiken dan losse wachtwoorden te onthouden.
supersnathan94
@killerfreak19 juli 2019 12:56
Maar dat is toch exact mijn punt. Op het moment dat je een apparaat hebt om 2FA te kunnen gebruiken dan ga je of niet inloggen met een onbekend apparaat (want kan ook op dat andere ding) of je zoekt het wachtwoord even op en typt het dan over. Het gaat juist om die nood situaties waarin je vaak ook niet helemaal helder kunt nadenken en maar gewoon shit probeert.

2FA betekent dan gewoon dat je überhaupt niks kunt doen als je device gestolen of kwijt is.
Bor Coördinator Frontpage Admins / FP Powermod @mark-k18 juli 2019 20:21
Het probleem rond opschrijven is in veel gevallen minder groot dan het nooit wijzigen van wachtwoorden die remote gecontroleerd / misbruikt kunnen worden waarbij je dus geen fysieke toegang nodig hebt tot hetgeen opgeschreven is. De experts die aangeven dat het periodiek wijzigen van wachtwoorden achterhaald zou zijn geven daarbij wel aan dat er andere maatregelen getroffen moeten worden. Simpelweg het advies overnemen als 'nooit meer hoeven wijzigen' is misinterpretetatie.

[Reactie gewijzigd door Bor op 23 juli 2024 10:22]

ETH0.1 @Mel3318 juli 2019 16:46
Je moet ze de kost eens geven, kwam er hier bijvoorbeeld onlangs achter dat 1 van de duurdere managers al jaren lang hetzelfde domein wachtwoord heeft. Policy schrijft voor dat er minimaal 15 wachtwoorden veranderingen moeten zijn voordat je hetzelfde wachtwoord mag hergebruiken.

Die gast liet doodleuk zijn secretaresse zijn wachtwoord 15x veranderen zodat hij hetzelfde wachtwoord weer terug had 8)7 . (en hij heeft er een aantal versleten in de afgelopen jaren, die wisten dus allemaal zijn wachtwoord, een behoorlijk bedrijfsrisico)

Een kleine aanpassing in de policy dat je maar 1x per 24uur je wachtwoord mag veranderen en een langere paswoord historie loste dat probleem overigens op. ;)
Blokker_1999
@ETH0.118 juli 2019 16:51
Het security risico wordt dan meer veroorzaakt door de policy die hem zijn wachtwoord doet veranderen dan door het hergebruik van het wachtwoord. Er gaan steeds meer stemmen op om gebruikers niet langer te verplichten hun wachtwoord te laten aanpassen (en dan heb ik het over eindgebruikers, niet over beheerders) net omdat het aanpassen van het wachtwoord ook weer manieren introduceert die de wachtwoorden onveiliger maken.
DigitalExorcist @ETH0.118 juli 2019 18:02
Yep. Daarom ook het vinkje voor minimum password age ook aanzetten 🙂 minimaal 24 uur.
Apache @ETH0.118 juli 2019 17:20
2 weken op vakantie gaan lost dat probleem dan weer op, kom je terug, kan je aan de slag met je oude wachtwoord ;)
dakathefox @ETH0.118 juli 2019 17:56
Geweldige anekdote!
wica @Mel3318 juli 2019 16:43
Sterker, al minstens 25 jaar niet ;P

Zonder dollen, je weet ook dat veel mensen en ook ontwikkelaars, vaak hun wachtwoorden hergebruiken.
Dus was, het fijn geweest. Als deze mensen het eerder konden weten.
Carlos0_0 @Mel3318 juli 2019 17:48
Nee ik verander bijna nooit ergens mijn wachtwoord, ja bij de bank want daar moet het jaarlijks.
En dat is ook wel iets belangrijker dan bol.com account ofzo.
Daoka @Mel3318 juli 2019 17:38
Als iemand brute force gebruikt om je wachtwoord te achterhalen dan had het toch geen zin om telkens je wachtwoord te veranderen. Als je het 1x per jaar zou doen dan heb je het misschien al 3 keer veranderd zonder dat iemand iets geprobeerd heb terwijl die nog gewoon veilig was dus. En dat die nu pas onveilig is dus. Al hadden ze het na de hack natuurlijk wel moeten doen.
DigitalExorcist @Daoka18 juli 2019 18:03
Bij brute force heb je een punt, maar decentrale diensten als websites waarbij passwordbestanden nogal eens op straat liggen heeft regelmatig wijzigen wél zin. Al is het maar omdat de kans aanwezig is dat het gelekte wachtwoord al achterhaald is...
Unsocial Pixel @Daoka18 juli 2019 19:50
Denk dat elk device dat ik gebruik na 3 pogingen dichtklapt,, succes

Volgens mij is dit vrij standaard en is bruteforcen minder actueel dan vroeger.

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 10:22]

vosManz @wica18 juli 2019 17:36
In dit geval zijn de plaintext wachtwoorden gestolen. Dus niet (alleen) de database met gehashte wachtwoorden, maar de hackers hebben code toegevoegd waardoor ze aan de plaintext wachtwoorden konden. Waarschijnlijk hebben ze dus code toegevoegd aan het login-script waarbij het plaintext wachtwoord (dat je invult bij inloggen op de website) vergeleken werd met de hash in de database. Indien correct is het plaintext wachtwoord doorgestuurd naar de hackers.

De gehashte wachtwoorden zijn hier dus in principe niet relevant.

Als de gehashte wachtwoorden goed zijn opgeslagen (sterk wachtwoord, met salt, sterke encryptie, etc). moet je overigens wel heel veel geduld hebben om die te brute-forcen. Dan kom je er denk ik zelfs niet met voldoende geld om een supercomputer voor je aan het werk te zetten. Op deze site kun je checken hoe lang het duurt om je wachtwoord te kraken: https://howsecureismypassword.net/. Als er een lek gevonden wordt waardoor de gebruikte encryptie niet meer veilig is, tja, dan gaat het natuurlijk een stuk sneller :P
Terr-E @vosManz18 juli 2019 18:01
Op die site die je linkt zie ik niet echt een onderbouwing, dus voor degenen die interesse hebben in wat meer achtergrond ook even dit linkje:
https://www.grc.com/haystack.htm
Unsocial Pixel @vosManz18 juli 2019 19:54
Mijn oudste die ik kon terughalen (en tevens me slechtste ww) 131 billion years
Tom-Z @wica18 juli 2019 23:17
Wat bedoel je met "hashen is alleen maar vertragend"? Een redelijk sterk wachtwoord, gehasht met een redelijk sterk algoritme, is zelfs met alle tijd en geld in de wereld niet te kraken.
hackerhater @Tom-Z19 juli 2019 09:47
Zeg nooit nooit.
Er worden geregeld fouten in algoritmes ontdekt waardoor de hashes een stuk minder sterk zijn dan verwacht.
Maar je praat nog steeds over jaren met een fatsoenlijk algoritme inderdaad.
ajolla @wica18 juli 2019 17:00
Ja, vooral mooi op tijd. _/-\o_
michielRB 18 juli 2019 21:33
Ik ben blij dat ik zelf Mattermost heb draaien op mijn server. Geen last van meekijken/profileren door slack en alles in eigen hand. Misschien heeft Slack wat meer mogelijkheden, maar de flexibiliteit van Mattermost vergoed veel.
mr_evil08 19 juli 2019 08:33
ligt natuurlijk heel erg aan de dienst erachter, of ik mijn wachtwoord wijzig en hoe sterk die is.

Zoals je moet op forums registreren om dat ene bestand te kunnen downloaden best lame waarom ze dat doen maar daar gebruik ik ook simpele wachtwoorden en heb er een apparte onzin/spam mail adres voor.

Het zou mij een worst zijn als mijn account gehacked wordt gezien daar allemaal fake gegevens achterlaat.

Zijn het overheidsdiensten of andere zaken wat gevolgen kan hebben als er iemand anders bij kan dan wel een sterk wachtwoord en eventueel 2FA, maar die zijn er maar weinig.

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 10:22]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq