Na skrzynki mailowe użytkowników aplikacji Slack dla systemu Android trafiła wiadomość z prośbą o zmianę hasła. Tym razem to jednak nie phishing. Slack ma powody, by prosić o to swoich użytkowników, w dodatku, bardzo poważne.
Hasła nie były przechowywane w sposób bezpieczny
Jak czytamy, źródłem całego zamieszania jest błąd w jednej z wersji aplikacji Slack dla systemu Android. Powodował on, że w logach generowanych przez aplikację, zapisywane były również login i hasło użytkownika. Wspomniane logi, przechowywane były na smartfonach użytkowników w postaci zwykłych, niezabezpieczonych plików tekstowych.
Choć prawdopodobieństwo, że dane z logów trafią do sieci jest znikome, lepiej zastosować się do prośby twórców aplikacji i jak najszybciej zmienić hasło.
Lepiej wyczyścić dane
Dodatkowo, oprócz zmiany hasła do Slacka (i wszystkich innych serwisów, w których dany użytkownik używał tego samego) zalecane jest ręczne wyczyszczenie danych aplikacji, z poziomu menu ustawień systemowych. Wszystko po to, by upewnić się, że pliki z logami zawierającymi wrażliwe dane, zostały usunięte.
Twórcy Slacka deklarują, że zablokowali feralną wersję aplikacji i obecnie nie da się z niej korzystać. Będzie to możliwe dopiero wtedy, gdy dany użytkownik zaktualizuje ją do wersji bezpiecznej (dostępna już w Sklepie Google Play).
Co z tym linkiem?
Do wiadomości e-mail z prośbą o reset hasła, dołączono link przekierowujący bezpośrednio do miejsca, w którym można wykonać dyspozycję. Jego obecność, choć stanowi ułatwienie dla użytkowników, moim zdaniem, może wprowadzać w błąd. Różne instytucje, na czele z bankami, operatorami komórkowymi czy firmami kurierskimi często przestrzegają klientów, by pod żadnym pozorem nie klikać w linki w mailach, których otrzymania nie spodziewaliśmy się. Z kolei tutaj twórcy Slacka proszą właśnie o to. W mojej opinii to niekonsekwencja, która nie powinna mieć miejsca. Pod żadnym pozorem, nie należy wpływać na zmniejszenie czujności użytkowników internetu. Autorzy aplikacji, zamiast wysyłać link, powinni umieścić opis procedury samodzielnej zmiany hasła.
Oczywiście, nie ma żadnego obowiązku klikania w link w dołączonej korespondencji. Zlecić zmianę hasła możemy równie dobrze z poziomu samej aplikacji.
Jeżeli korzystasz ze Slacka i otrzymałeś opisywaną korespondencję, dla własnego bezpieczeństwa, zmień hasło.