Исследователи из шведской компании Detectify, провайдера услуг по защите веб-сайтов, обнаружили в открытом доступе на GitHub свыше 1,5 тыс. токенов, используемых ботами и пользователями для аутентификации в Slack. Большинство из них по недосмотру оставили в своих проектах разработчики, когда выкладывали коды ботов для общего пользования. Slack Technologies уже предупреждена об утечке, отозвала все скомпрометированные токены и разослала уведомления пострадавшим.

Slack — одна из наиболее популярных платформ для совместной работы на предприятиях; ее API позволяет пользователям создавать небольшие боты для автоматизации различных задач. Многие разработчики публикуют коды своих Slack-ботов на GitHub и, как оказалось, иногда забывают удалить весьма важные данные. По свидетельству Detectify, некоторые разработчики даже оставили в коде токен доступа к собственному Slack-аккаунту.

Коды аутентификации обеспечивают доступ к данным пользователей, истории переписки, файлам, функции поиска, закрытым сообщениям и другим конфиденциальным данным, которыми обмениваются участники рабочих групп на Slack, в том числе боты и их разработчики. Обнаруженные исследователями токены открывали двери в чаты операторов платежных систем, интернет-провайдеров, учебных заведений, рекламных агентств, новостных изданий, медицинских учреждений и многих других организаций. И такие ценные для злоумышленников ключи от Slack, по свидетельству Detectify, прибывают на GitHub изо дня в день.

Задачу исследователям облегчил характерный формат токенов Slack, из-за которого их можно найти на GitHub простым поиском. Используя эти находки, исследователи с разрешения жертв утечки получили доступ к рабочим группам и обнаружили помимо прочего идентификаторы к базам данных, сообщения очень личного характера, файлы с паролями, а также логины к платформам непрерывной интеграции и внутренним сервисам. «Внутренняя переписка в группах Slack также позволила заключить, что люди в целом склонны к неосмотрительности, передавая свои пароли», — сетуют в Detectify.

Категории: Аналитика, Главное, Кибероборона