Support us

Разработчики чат-ботов для Slack нечаянно «сливают» закрытую информацию в сеть

Оставить комментарий
Разработчики чат-ботов для Slack нечаянно «сливают» закрытую информацию в сеть

API корпоративного мессенджера Slack, который уже называли самым быстрорастущим бизнес-приложением в истории, позволяет писать небольших ботов для автоматизации разных операций. Эта приятная и безобидная функциональность, как выяснили исследователи Detectify Labs, — серьёзная угроза безопасности многих компаний, пишет Хakep.ru. Разработчики публикуют коды своих ботов в открытом доступе, не задумываясь, что исходники содержат токены аутентификации для их корпоративного Slack.

Читать далее...

Специалисты Detectify Labs выяснили, что получить доступ к чужому Slack и закрытым данным компании очень легко.

Начать можно с простого шага: поискать на GitHub буквосочетания «xoxp» и «xoxb». Все токены Slack маркируются именно таким образом, и поиск по первому запросу, на данный момент, возвращает более 7400 результатов. Токены xoxb создаются специально для ботов, а xoxp относятся к личным.

Исследователи пишут, что суммарно им удалось обнаружить более 1500 разных токенов. Преимущественно они содержались в открытых исходных кодах Slack-ботов, то есть были опубликованы самими разработчиками.

По всей видимости, многим разработчикам не приходило в голову, что токен может использоваться не только ботом. Токен точно так же может быть применен и злоумышленником. Заполучить чужой токен «xoxp», всё равно что иметь на руках логин и пароль пользователя. Slack API позволяет обладателю токена получить доступ к файлам и истории сообщений каналов, информации о группе, приватным сообщениям пользователей и так далее.

Вооружившись чужим токеном, атакующий способен скачать чужую историю сообщений, а затем поискать в логах корпоративного мессенджера учётные данные от внутренних ресурсов компании, информацию о личных аккаунтах сотрудников и другие данные, не предназначенные для посторонних глаз. Не спасёт даже двухфакторная аутентификация, если она в наличии.

Эксперты Detectify Labs отмечают, что они обнаружили в открытом доступе токены от каналов компаний из списка Forbes 500, среди которых есть крупные платёжные сервисы, интернет-провайдеры, СМИ и медицинские организации.

«На GitHub полно различной закрытой информации. Slack просто сделал поиск токенов очень простым, учитывая их формат. Мы надеемся, что этот информационный бюллетень поможет людям осознать, насколько серьёзными в реальности могут быть последствия раскрытия токенов», — подводят итог Detectify Labs.

Разработчики Slack уже знают о проблеме. Все обнаруженные исследователями токены были аннулированы, и сейчас команда Slack работает над уведомлением пользователей. Представители Slack подчёркивают, что к токенам нужно относиться как к паролям, ни в коем случае не публикуя их в открытом доступе.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
Сделали обзор VPN-сервисов, которые лидируют в рейтингах, и сделают вашу работу в интернете быстрой и безопасной.
3 комментария
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов. 
7 комментариев
Instagram, TikTok и Facebook следят за пользователями через браузер. Как узнать, следят ли за мной?
Instagram, TikTok и Facebook следят за пользователями через браузер. Как узнать, следят ли за мной?
Bubble
Instagram, TikTok и Facebook следят за пользователями через браузер. Как узнать, следят ли за мной?
Все VPN для iOS плохо шифруют данные. Apple знает, но ничего не делает
Все VPN для iOS плохо шифруют данные. Apple знает, но ничего не делает
Все VPN для iOS плохо шифруют данные. Apple знает, но ничего не делает
1 комментарий

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.