Slack is een populaire app voor zakelijke of werkgelerelateerde communicatie met collega's. Maar bezitters van een Android-toestel die deze app op de telefoon geïnstalleerd hebben, doen er verstandig aan om hun wachtwoord zo spoedig mogelijk te wijzigen. Door een fout in de configuratie werd het Slack-wachtwoord tijdelijk namelijk als platte tekst opgeslagen op je toestel. In theorie kon die informatie dus door andere, mogelijk kwaadaardige apps worden uitgelezen. Hoe zit dat precies?
De app is vorig jaar qua gebruik flink gegroeid: zeker nu velen vanwege het coronavirus nog wel even thuiswerken, is een dergelijke tool een handig middel om op een laagdrempelige, toegankelijke wijze toch te kunnen communiceren met je collega's, ook al is dat op afstand.
Verschillende gebruikers melden echter dat ze een mail hebben van Slack met betrekking tot hun wachtwoord. En omdat phishing en oplichting dan al snel op de loer ligt, werd deze mail dan ook met argusogen bekeken. In dit geval is dat echter niet terecht: de mail is legitiem en is écht van Slack afkomstig. Hieronder een voorbeeld. Aan het einde van dit artikel staat de integrale (Engelse) tekst, mocht je het even rustig willen nalezen.
Wat is er aan de hand?
De Android-versie van Slack die op 21 december 2020 is uitgerold, bevatte een bug waardoor inloggegevens niet gehasht of versleuteld, maar als platte tekst werden opgeslagen. Deze bug is op 20 januari van dit jaar ontdekt en werd een dag later verholpen. In theorie kon deze informatie gedurende ruim vier weken dus worden uitgelezen door andere apps op je toestel.
Nu is er volgens Slack weliswaar geen sprake van signalen die erop wijzen dat deze informatie is gelekt of dat kwaadwillenden daar misbruik van hebben gemaakt, maar het in dit soort gevallen simpelweg beter om het zekere voor het onzekere te nemen. Volgens Slack zijn slechts een beperkt aantal Android-gebruikers getroffen door deze bug, en als dat klopt, is de kans dat derden aan de haal zijn gegaan met het wachtwoord niet groot.
'Niet groot' is echter niet hetzelfde als 'nul procent'. Om die reden is het raadzaam om je wachtwoord uit voorzorg tóch even te wijzigen.
Hoe wijzig ik mijn wachtwoord op Slack en wat moet ik verder weten?
Slack raadt Android-gebruikers allereerst aan om de opgeslagen data handmatig te verwijderen van je telefoon. Dat kan door via Instellingen naar Apps te gaan. Selecteer de app waarvan je de instellingen en data van je toestel wil verwijderen, in dit geval Slack. Ga via Opslag naar Opslag beheren en kies vervolgens de optie Alle gegevens wissen.
Daarna moet je de meest recente versie van Slack installeren via de Google Play Store. Als je je wachtwoord wijzigt terwijl de verkeerde versie nog op je toestel staat, schiet je er immers weinig mee op. Goed om te weten: de versie van Slack waar de bug in zit, is door de ontwikkelaars inmiddels uitgeschakeld en onklaar gemaakt. Als je op dit moment een werkende versie van Slack op je Android-toestel hebt, is het dus goed en kun je deze stap overslaan.
De eerstvolgende keer dat je Slack op je Android-toestel opent, moet je wel even opnieuw inloggen: je opgeslagen inloggegevens zijn immers verwijderd van je toestel. Daarvoor moet je eerst je wachtwoord herstellen. Maar het herstellen van je wachtwoord kan alleen niet vanaf een mobiel toestel. Je kunt een verzoek om je wachtwoord te herstellen indienen via de website van Slack.
Dat gaat als volgt:
- Klik in je browserscherm rechtsboven op je profielfoto
- Kies de optie View profile
- Kies de optie More via de button met de drie horizontale bolletjes
- Kies Account Settings
- Kies bij Password de optie Expand
- Kies een nieuw wachtwoord en bevestig je keuze door ook je huidige wachtwoord in te voeren
- Wachtwoord vergeten? Kies dan Reset your password by email en volg de instructies in de mail
Klaar? Met je nieuwe wachtwoord en het mailadres dat je gebruikt voor Slack kun je voortaan ook weer op je Android-toestel inloggen. Gebruikte je dat wachtwoord ook voor andere websites, apps en noem maar op? Dan is het tevens raadzaam om je wachtwoord op al die platformen ook te wijzigen: je moet voor jezelf inschatten of dit advies voor jou relevant is.
Hieronder volgt voor de volledigheid nog de integrale tekst uit de mail van Slack.
E-mail over de wachtwoord-bug in de Android-versie van Slack
Hello,
Slack is requiring a password reset for the [gebruikersnaam] account on [toestel]. We are taking this step as precaution due to an error that we discovered and there is no evidence of any unauthorized or third party access to this account. Maintaining the security of your team and the privacy of your communications is important to us. We apologize for the disruption.
On December 21st, 2020, Slack introduced a bug that caused some versions of our Android app to log clear text user credentials to their device. Slack identified the issue on January 20th, 2021 and fixed it on January 21st, 2021. A fixed version of the Android app is available and we have blocked usage of the impacted version(s).
To set your new password immediately, please use the following link: [link naar Slack]. Selecting a complex and unique password is strongly recommended, and is vital to protecting the integrity of your account. We suggest the use of a password manager to help you keep track of your passwords for every service you use.
Finally, you can manually delete the logs from your device. Be advised this action will also log you out of all Slack workspaces of which you are a member. We have already invalidated the logged password, but if you have reused this Slack password to log into other websites, this is highly recommended.
You can do this with these instructions on your Android device:
From your home screen, go to the Settings app
Scroll down and select Apps
Navigate to and select Slack
Select Storage
Click Clear data on the left side of the screen
Click OK to confirm that you wish to clear data
Log into Slack using your new password
We very much regret any inconvenience we have caused. If you have additional questions, you can reply directly to this notification — our support team is standing by and ready to help.
Sincerely,
The team at Slack
Bron: The Verge / Android Police