API корпоративного мессенджера Slack, который уже называли самым быстрорастущим бизнес-приложением в истории, позволяет писать небольших ботов для автоматизации разных операций. Эта приятная и безобидная функциональность, как выяснили исследователи Detectify Labs, — серьёзная угроза безопасности многих компаний, пишет Хakep.ru. Разработчики публикуют коды своих ботов в открытом доступе, не задумываясь, что исходники содержат токены аутентификации для их корпоративного Slack.
Специалисты Detectify Labs выяснили, что получить доступ к чужому Slack и закрытым данным компании очень легко.
Начать можно с простого шага: поискать на GitHub буквосочетания «xoxp» и «xoxb». Все токены Slack маркируются именно таким образом, и поиск по первому запросу, на данный момент, возвращает более 7400 результатов. Токены xoxb создаются специально для ботов, а xoxp относятся к личным.
Исследователи пишут, что суммарно им удалось обнаружить более 1500 разных токенов. Преимущественно они содержались в открытых исходных кодах Slack-ботов, то есть были опубликованы самими разработчиками.
По всей видимости, многим разработчикам не приходило в голову, что токен может использоваться не только ботом. Токен точно так же может быть применен и злоумышленником. Заполучить чужой токен «xoxp», всё равно что иметь на руках логин и пароль пользователя. Slack API позволяет обладателю токена получить доступ к файлам и истории сообщений каналов, информации о группе, приватным сообщениям пользователей и так далее.
Вооружившись чужим токеном, атакующий способен скачать чужую историю сообщений, а затем поискать в логах корпоративного мессенджера учётные данные от внутренних ресурсов компании, информацию о личных аккаунтах сотрудников и другие данные, не предназначенные для посторонних глаз. Не спасёт даже двухфакторная аутентификация, если она в наличии.
Эксперты Detectify Labs отмечают, что они обнаружили в открытом доступе токены от каналов компаний из списка Forbes 500, среди которых есть крупные платёжные сервисы, интернет-провайдеры, СМИ и медицинские организации.
«На GitHub полно различной закрытой информации. Slack просто сделал поиск токенов очень простым, учитывая их формат. Мы надеемся, что этот информационный бюллетень поможет людям осознать, насколько серьёзными в реальности могут быть последствия раскрытия токенов», — подводят итог Detectify Labs.
Разработчики Slack уже знают о проблеме. Все обнаруженные исследователями токены были аннулированы, и сейчас команда Slack работает над уведомлением пользователей. Представители Slack подчёркивают, что к токенам нужно относиться как к паролям, ни в коем случае не публикуя их в открытом доступе.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.