Slack 在假期期间遭遇了安全事件,影响了它的一些私人 GitHub 代码存储库。
全球工作场所和数字社区中估计有 1800 万用户使用极受欢迎的 Salesforce 拥有的 IM 应用程序。
客户数据不受影响
my.28u.cc发现了 Slack 于 2022 年 12 月 31 日发布的安全事件通知。
该事件涉及威胁行为者通过被盗的“有限”数量的 Slack 员工令牌获得对 Slack 外部托管的 GitHub 存储库的访问权限。
据该公司称,虽然 Slack 的一些私人代码存储库遭到破坏,但 Slack 的主要代码库和客户数据不受影响。
除夕夜发布的通知 中的措辞如下:
“2022 年 12 月 29 日,我们收到关于 GitHub 帐户可疑活动的通知。经调查,我们发现数量有限的 Slack 员工令牌被盗并被滥用以访问我们外部托管的 GitHub 存储库。我们的调查还显示,威胁行为者于 12 月 27 日下载了私人代码存储库。下载的存储库中没有包含客户数据、访问客户数据的方法或 Slack 的主要代码库。
Slack 已将被盗代币作废,并表示正在调查对客户的“潜在影响”。
目前,没有迹象表明 Slack 环境的敏感区域(包括生产)已被访问。然而,出于谨慎考虑,该公司已轮换了相关机密。
“根据目前可用的信息,未经授权的访问不是由 Slack 固有的漏洞造成的。我们将继续调查和监控进一步暴露,”Slack 的安全团队表示。
对搜索引擎隐藏安全更新?
具有讽刺意味的是,安全更新谈到 Slack 非常重视你的“安全、隐私和透明度”,但也有一些警告。
首先,在撰写本文时,除了其他文章外,该“新闻”项目 并未出现在公司的国际新闻博客上。
此外,与 Slack 早期的博客文章相反,此更新(在某些地区访问时,例如英国)标有“ noindex ”——一种用于从搜索引擎结果中排除网页的 HTML 功能,从而使其更难发现页。
my.28u.cc进一步观察到,包含“noindex”属性的“meta”标签本身被放置在页面 HTML 代码的底部,在一条细长的行中溢出而不会中断。这意味着,那些查看源代码的人(比如我们)不会轻易看到隐藏的标签,除非他们主动搜索 (Ctrl+F) 源代码。按照惯例,HTML head 和 meta 标签 通常放在页面的顶部。
不过,我们注意到,谷歌已经 将不带标签 发布的美国公告 编入索引。
希望限制离奇新闻可见性的企业采用的其他技术可能包括使用 地理围栏 和定制 robots.txt 文件。这种技术,包括在重要公告中使用“noindex”,通常是不受欢迎的。但是,在某些情况下,当目标是实现生成“规范”链接时,可能会错误地应用“noindex”属性。
去年,信息安全记者兼编辑 Zack Whittaker 指责 LastPass 和 GoTo 在 LastPass的2022 年安全漏洞披露中采用了类似的策略 。
2022 年 8 月, Slack 在另一起事件中意外暴露了密码哈希后,重置了用户密码。毫不奇怪,该特定通知还标有“noindex”( 美国和国际版本)。
2019 年,Slack 宣布已为约 1% 受 2015 年数据泄露影响的用户重置密码,这些用户还符合既定标准。
关于最新的安全更新,好消息是客户目前无需采取任何行动。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Slack的私人GitHub代码存储库在假期被盗
