mboost-dp1

Slack Technologies

Tusinder af Slack-konti kan hackes via søgning på GitHub

-

Et ganske stort antal udviklere har – sikkert uvidende – lagt deres kontoinformationer til arbejdsværktøjet ‘Slack’ ud på GitHub.

Slack kan f.eks. bruges til intern kommunikation i en virksomhed, opsætning af projekter med adgang for medarbejdere og kunder og samling af filer vedrørende projektet.

Søger man efter ‘xoxp.’ på GitHub, kommer der ifølge Ars Technica flere end 7.400 sider frem. Har man koden, der efterfølger dette præfix, kan man med hjælp fra diverse scripts følge med i Slack-brugernes dialog med kolleger og kunder inklusiv de filer, der sendes. Dette gælder også, selv om man som Slackbruger har to-parts-verifikation.

Selskabet Detectify har for nyligt vurderet, at omkring 1.500 af disse tokens er tilgængelige – med brugere der arbejder for flere Fortune 500 selskaber, selskaber der arbejder med udbetalinger, internetleverandører og selskaber inden for sundhedsvæsenet.





Gå til bund
Gravatar #1 - ilithanos
1. maj 2016 16:43
hmm så det de rent faktisk har fundet er folk der ligger deres api token ud sammen med koden på github istedet for at ligge en version ud hvor API token til slack er lavet til en random string. Det er da også for dumt at udviklere ikke formår at fjerne denne token fra koden på github, men er ret sikker på det skyldes forglemmelser.
Gravatar #2 - CBM
1. maj 2016 17:14
Skulle den slags tokens ikke altid. . ALTID .. ligge i en database?
Gravatar #3 - ilithanos
1. maj 2016 19:00
jo umiddelbart ville jeg også vælge en løsning med en database ;)

men nogen mennesker kan åbenbart godt lide at have den slags hardcoded i koden, og ønsker man det er det mindste man kan gøre inden man pusher vel at lave en search and replace for at maske den token.

Det er uanset hvordan vi vender og drejer det i hvert fald et udvikler problem, og ikke et direkte sikkerhedsproblem hos slack at udviklere omgår deres tokens med så stor letsindighed.


Gravatar #4 - arne_v
1. maj 2016 23:43
#2 & 3

Database en en mulighed.

Men en konfigurations-fil bør være tilstrækkeligt.
Gravatar #5 - arne_v
1. maj 2016 23:45
#1 & 3

Det er absolut sjusk.

Men det sker.

Jeg har set utallige gange at folk har postet et database kode problem på nettet og at koden har indeholdt databaser brugernavn og kodeord.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login