- Slack 宣布了一个涉及未经授权访问 Slack 代码存储库子集的安全问题。
- 下载的存储库中没有包含客户数据,因此无需采取任何措施,事件已解决。
- 根据目前可用的信息,未经授权的访问并非由 Slack 固有的漏洞引起。
Slack宣布了一起安全事件,涉及未经授权访问 Slack 代码存储库的子集,软件代码库还包括文档、注释、网页和更改。Slack 声称该事件已迅速解决并且不会影响客户,因此无需采取任何行动。
被盗的员工代币
12 月 29 日,Slack 收到通知,称其GitHub帐户存在异常活动。调查显示,数量有限的 Slack 员工代币被盗。未经授权的第三方使用这些令牌来访问 Slack 的外部托管 GitHub 存储库。接下来的调查表明,未经授权的第三方在 12 月 27 日下载了私有代码存储库。
Slack 表示,被盗的存储库不包含客户数据,也不允许威胁行为者访问客户数据或 Slack 的主要代码库。作为预防措施,该公司还使被盗代币失效并轮换了所有相关凭证。Slack 还确认对其代码或服务没有影响。该公司正在继续调查导致威胁行为者窃取存储库的漏洞,但根据当前信息,该事件并非由 Slack 方面的漏洞引起。