اعترفت منصة العمل الجماعي “Slack” (سلاك) بالكشف عن غير قصد لكلمات المرور المجزأة (Hashed passwords) التابعة لبعض المستخدمين. ووفقًا لموقع Wired، فإن الثغرة الأمنية التي كشفت عن إصدارات مشفرة من كلمات مرور بعض المستخدمين تعود إلى خمس سنوات، بين 17 أبريل/نيسان 2017 و 17 يوليو/حزيران 2022 وأثرت على أي شخص قام بإنشاء أو إلغاء رابط دعوة اشتراك في المنصة.

إجراءات احترازية اتخذتها الشركة

بدأ تطبيق مساحة العمل التشاركية في إرسال روابط إعادة تعيين كلمة المرور إلى المستخدمين المتأثرين في 4 أغسطس ، بعد أيام قليلة من كشف باحث أمني مستقل عن ثغرة أمنية في “سلاك” في 17 يوليو/حزيران. وأوضح مسؤولو المنصة في بيانٍ أن الخلل أثر على حوالي 0.5 بالمائة من مستخدميها، مما قد يعني ما يقرب من 50 ألف مستخدم (يُفترض أنها تستند إلى سجلات عدد روابط الدعوة المشتركة التي تم إنشاؤها في تلك الفترة). ويُذكر أن الشركة قالت إن لديها أكثر من 10 ملايين مستخدم نشط يوميًا في عام 2019.

 وقالت الشركة في بيانها: “اتخذنا على الفور خطوات لتنفيذ الإصلاح وأصدرنا تحديثًا في نفس اليوم الذي تم فيه اكتشاف الخطأ، في 17 يوليو/حزيران 2022. إذ أبلغ سلاك جميع العملاء المتأثرين وتمت إعادة تعيين كلمات المرور للمستخدمين المتأثرين.”

ووفقًا لـ “سلاك”، تم إصلاح الثغرة الأمنية على الفور. ومن غير المحتمل أن تكون كلمات المرور المجزأة قد تم اختراقها، لأنها ليست مثل كلمات المرور المكتوبة بنص عادي، بل تستند إلى تقنية تشفير معقدة لتخزين البيانات. ويضيف البيان: “بعبارة أخرى، من غير المجدي عمليًا اشتقاق كلمة مرور من الكلمة المتجزأة، ولا يمكن لأي شخص استخدام الكلمة المجتزأة مباشرةً للمصادقة. نستخدم تقنية تسمى التمليح لمزيد من الحماية لهذه التجزئة.”

وعليه، فإن تسريب تجزئة كلمات المرور المملحة ليس خطيرًا مثل كشفها كنصّ عادي، إذ يتعين على المهاجم استخدام أساليب القوة الغاشمة – أتمتة برنامج نصي لتخمين كلمات المرور – لكشفها، والتي تستغرق الكثير من الوقت لتتنفذ”.

قد يهمّك أيضًا: نهاية عصر كلمات المرور أصبحت وشيكة

ما يجب فعله

رغم قلة احتمال الخطر، إلا أنه لا يزال هناك دافع لحدوث تهديدٍ حقيقي، وذلك لأن “سلاك” يُستخدم من من قبل العديد من الشركات، منها الكبرى. وتعد مثل هذه الحوادث مرة أخرى حجة واضحة للمستخدمين لتمكين أسلوب “المصادقة متعددة العوامل” (MFA). فإذا تم تنفيذه بشكل صحيح، فسيؤدي ذلك إلى تنبيه المستخدم الشرعي إلى أي محاولة مصادقة نيابة عنه، مما يؤدي إلى رفض أي محاولة وصول ضارة أو غير موثوقة.

يقول Slack أن حوالي 1 من كل 200 من مستخدميها (0.5٪ ، يُفترض أنها تستند إلى سجلات عدد روابط الدعوة المشتركة التي تم إنشاؤها في فترة الخطر) ، وأنها ستجبر هؤلاء المستخدمين على إعادة تعيين كلمات المرور الخاصة بهم.

بعض النصائح الإضافية:

إذا كنت أحد مستخدمي “سلاك”، فيمكنك أيضًا إعادة تعيين كلمة المرور الخاصة بك حتى إذا لم يتم إعلامك من قبل الشركة للقيام بذلك. عندما تعترف شركة ما بأنها كانت مهملة في قاعدة بيانات كلمات المرور الخاصة بها عن طريق تسريب بيانات تجزئة كلمات المرور، خاصة على مدار هذه الفترة الطويلة، فقد تفترض أيضًا أن شركتك قد تأثرت، حتى لو اعتقدت “سلاك” أنها لم تتأثر بذلك. بمجرد تغيير كلمة المرور الخاصة بك، فإنك تجعل التجزئة القديمة عديمة الفائدة للمهاجمين.

واستعن بمدير كلمات مرور موثوق. بدايةً لتحديد كلمة قوية مناسبة، وبالتالي ضمان أن تنتهي كلمة المرور الخاصة بك في أسفل قائمة كلمات المرور التي قد يتم اختراقها في حادث مثل هذا. إذ لا يستطيع المهاجمون حينها تشكيل خطر حقيقي عليك ولو استخدموا نهج “القوة الغاشمة”؛ وذبلك نظرًا لوجود عدد كبير جدًا من كلمات المرور الممكنة لتجربتها. لذلك، فإنهم يجربون كلمات المرور الأكثر احتمالاً أولاً، مثل الكلمات أو مجموعات الكلمات والأرقام الواضحة. كما يمكن لمدير كلمات المرور أن يتذكر كلمة مرور عشوائية مكونة من 20 حرفًا بنفس سهولة تذكر اسم قطتك أو مدرّسك في المرحلة الابتدائية.

ومجددًا، عليك بتفعيل “المصادقة الثنائية” أو “التحقق بخطوتين” (2FA)، إذ يعني ذلك أنك لا تحتاج فقط إلى كلمة المرور لتسجيل الدخول، ولكن أيضًا إلى رمز لمرة واحدة يتغير في كل مرة. عادةً ما يتم إرسال هذه الرموز إلى (أو يتم إنشاؤها بواسطة) هاتفك المحمول، وتكون صالحة فقط دقائق كل مرة. هذا يعني أنه حتى إذا قام المخترقون عبر الإنترنت باختراق كلمة مرورك، فلن يكفيهم وحده الاستيلاء على حسابك.

قد يهمّك أيضًا: ما هو التحقق بخطوتين؟ ولماذا جعلته جوجل وفيسبوك إجباريًا؟

أما إذا كنت مالك لمؤسسة أو مسؤول عن قاعدة بياناتها، اختر خوارزمية ذات سمعة جيدة للتجزئة والتمدد عند التعامل مع كلمات المرور. حيث إذا تعرضت مؤسستك لهكذا حادث مؤسف واختُرقت أو تسربت قاعدة بيانات كلمة المرور الخاصة بمؤسستك، ستكون قادرًا على تزويد عملائك بتفاصيل دقيقة عن الخوارزمية وإعدادات الأمان التي استخدمتها. سيساعد هذا المستخدمين المطّلعين على الحكم بأنفسهم على مدى احتمالية اختراق التجزئة المسروقة في الوقت المتاح للمهاجمين حتى لحظة إخطارهم.