Im Klartext am Gerät gespeichert: Slack möchte, dass einige Nutzer das Passwort zurücksetzen
Bei Slack gab es eine Panne – so hatte man einen Monat lang bei einigen Nutzern die Passwörter im Klartext auf das eigene Gerät geloggt. Betroffen sind einige Android-Nutzer, welche nun dazu gebeten werden, ihr Passwort zu ändern. Es handelt sich dabei also um keine Phishing-Mail.
Auch eine E-Mail von Slack bekommen? Immer wieder sind sogenannte „Phishing-Mails“ zum Abgreifen von Passwörtern unterwegs. Dieses Mal könnte man denken, wäre es bei Slack der Fall. Ist es aber nicht: Slack bittet seit heute einige Android-Nutzer per Mail, ihr Passwort zurückzusetzen.
Slack-Passwort zurücksetzen: Nutzer & Workspace-Admins erhalten E-Mail
Unter dem Betreff „[Sicherheits-Update]: Dein Slack-Account“ oder „[Security Update]: Your Slack Account“ sendet das Unternehmen derzeit E-Mails persönlich an die Nutzer aus. Leider hat man sich aber nicht so gut dabei angestellt und spricht den Nutzer nicht persönlich mit dem Namen an, was meistens als ersten Indikator für eine Phishing-Mail spricht. Nicht nur die Nutzer selbst, sondern auch die Workspace-Administratoren haben eine E-Mail erhalten. Je nach eingestellter Sprache in Slack, ist sie entweder in Deutsch, Englisch oder einer anderen Sprache verfasst. Der Administrator sieht darin, welche Nutzer dieses Problem betrifft.
Wir empfehlen nach Erhalt dieser E-Mail sofort sein Passwort unter dem aufgeführten Link zurückzusetzen. Möglicherweise zwingt Euch der Workspace-Administrator sowieso dazu und Ihr könnt Euch mit dem aktuellen Passwort nicht mehr einloggen. Unternehmen, die SSO-Login verwenden, sind davon nicht betroffen. Auch wenn das Passwort nur am eigenen Gerät „öffentlich“ gemacht wurde, so hätten andere Apps und das System auf diese Logs zugreifen können. In weiterer Folge dürfte es dann auch kein Problem mehr sein, das Passwort auszulesen. Alternativ kann ein Nutzer immer unter folgendem Link sein Passwort zurücksetzen: [workspace].slack.com/account/settings#password
Diese E-Mail erhalten Slack-Nutzer
Die vollständige E-Mail an Nutzer lautet folgendermaßen:
Hallo,
Slack möchte, dass das Passwort für den [dein Nutzername]-Account auf [Workspace].slack.com zurückgesetzt wird. Dabei handelt es sich um eine Vorsichtsmaßnahme aufgrund eines Fehlers, den wir entdeckt haben. Es gibt keine Anzeichen dafür, dass Unbefugte oder Dritte Zugriff auf diesen Account hatten. Wir nehmen die Sicherheit deines Projekt-Teams und den Schutz deiner Kommunikationsdaten sehr ernst. Wir möchten uns für jegliche Unannehmlichkeiten entschuldigen.
Am 21. Dezember 2020 kam es bei Slack zu einem Fehler, durch den in einigen Versionen unserer Android-App Anmeldedaten von Benutzerinnen und Benutzern in Klartextform auf deren Geräten protokolliert wurden. Slack hat das Problem am 20. Januar 2021 identifiziert und am 21. Januar 2021 behoben. Eine bereinigte Version der Android-App ist verfügbar, und wir haben die Verwendung der betroffenen Version(en) unterbunden.
Wenn du sofort ein neues Passwort festlegen möchtest, klicke auf den folgenden Link:
Wir empfehlen dringend, ein schwieriges und einmaliges Passwort zu erstellen. Nur so kann die Unversehrtheit deines Accounts geschützt werden. Am besten verwendest du einen Passwort-Manager. Damit weißt du immer, welches Passwort du für jeden deiner Dienste gewählt hast.
Abschließend kannst du die Protokolle manuell von deinem Gerät löschen. Beachte bitte, dass du durch diese Aktion auch aus allen Slack-Workspaces abgemeldet wirst, in denen du Mitglied bist. Wir haben das protokollierte Passwort bereits ungültig gemacht. Falls du es aber auch für die Anmeldung bei anderen Websites verwendest, empfehlen wir dringend, diese Aktion durchzuführen.
Auf deinem Android-Gerät geht das mithilfe der folgenden Anleitung:
- Öffne auf deiner Startseite die App Einstellungen
- Scrolle nach unten und wähle Apps aus
- Finde und wähle Slack aus
- Wähle Speicherplatz aus
- Klicke links auf Daten löschen
- Klicke auf OK, um zu bestätigen, dass du die Daten löschen möchtest
- Melde sich mit deinem neuen Passwort bei Slack an
Die entstandenen Unannehmlichkeiten tun uns sehr leid. Solltest du weitere Fragen haben, antworte einfach auf diese Benachrichtigung. Unser Support-Team ist immer für dich da.
Mit freundlichen Grüßen
Dein Slack-Team
Wir können selbst nicht sagen, ob Nutzer die keine Benachrichtigung erhalten haben, wirklich nicht auch davon betroffen sind. Am besten verwendet man sowieso einen Passwort-Manager und setzt sein Slack-Passwort sicherheitshalber trotzdem zurück. Als weitere Maßnahme sollte man immer eine Zwei-Faktor-Authentifizierung verwenden. Dann bringt einem möglichem Hacker das Passwort alleine auch nichts mehr. So geht man auf Nummer sicher.