סלאק מחזיקה במפתחות לממלכות לקוחותיה, ומזמן היא מודעת לכמה זה בעייתי. טוויטר, כך נראה, אולי הייתה מודעת הרבה פחות.

של יום רביעיפריצת טוויטר מאסיביתאילץ את החברה לעשות זאתלנעולהמשתמשים שלה, זמנית, בניסיון נואש לעצור אתדימום מתמשך. ובעוד שזה עדיין לא אושר, הניו יורק טיימסדיווחביום שישי שההאקר הצליח לגשת למערכות פנימיות של טוויטר לאחר שהכניס לראשונה לחשבון Slack של טוויטר - שם, לכאורה, הוא מצא "אישורי טוויטר" לא מוגדרים ש"העניקו לו גישה לשרתי החברה".

אם זה יתברר כמדויק, אז כל מה שמישהו היה צריך לעשות כדי להקל על ההשתלטות עליויותר מ-130חשבונות טוויטר בעלי פרופיל גבוה והעלאת פלטפורמת המדיה החברתית על ברכיה באופן זמני היה לזכות בכניסה לחדר הצ'אט הצבעוני שבו עובדים משתפים קובצי GIF ומצ'טים על יום העבודה. ולמרות שזה כמובן הפתיע את טוויטר, זה כנראה לא זעזע את סלאק.

החברה שבסיסה בסן פרנסיסקו הזהירה כבר לפני כןבאפריל 2019שהאקרים שיקבלו גישה לחשבונות Slack של לקוחות יהיה אסון.

באותו זמן, סלאק התכונן לצאת לציבור. זה חייב אותו לרשום אפשריים"גורמי סיכון"החברה (והערך של המניה שלה) עשויה להתמודד בשנים הבאות. אחד מגורמי הסיכון האלה? ניחשתם נכון: האקרים מקבלים גישה לחשבונות Slack של לקוחות, וכל הנשורת שעלולה להיגרם.

"משתמשים או ארגונים ב-Slack עלולים גם לחשוף או לאבד שליטה על מפתחות ה-API, הסודות או הסיסמאות שלהם", ציינה החברה. זה "עלול להוביל לגישה בלתי מורשית לחשבונות ולנתונים שלהם בתוך Slack (הנובע, למשל, מתקרית אבטחת נתונים עצמאית של צד שלישי שפוגע במפתחות, סודות או סיסמאות API).

"בנוסף, הפרה של אמצעי האבטחה של אחד מהשותפים שלנו עלולה לגרום להרס, שינוי או הסתננות של מידע תאגידי סודי, או נתונים אחרים שעשויים לספק דרכים נוספות להתקפה."

במילים אחרות, אם האקרים קיבלו גישה לחשבון Slack של חברה, הם עשויים להיות מסוגלים למנף את הנתונים שנמצאו שם - למשל, אישורי כניסה לחשבון של טוויטרפאנל ניהול- לשובבות נוספת.

ייתכן שהציוץ נמחק

פנינו ל-Slack בניסיון לאשר אתניו יורק טיימסדיווח, אך לא קיבל תגובה מיידית. שאלנו גם את טוויטר אם היא שמרה או לא אישורי התחברות פנימיים שפורסמו בערוץ ה-Slack שלה, אבל לא קיבלנו תשובה ישירה. במקום זאת, הצביעו לנו על אשרשור @TwitterSupportשבו החברה חושפת מידע על הפרת המערכות שלה.

עובדים מדליפים צ'אטים פנימיים ישמזמן היה החבלשל חברות טכנולוגיה ומדיה המסתמכות על Slack עבור עסקים יומיומיים. זה לא צריך להתפלא שכאשר חברה שלמה מדברת באמצעות כלי דיגיטלי אחד, וכל מחשבה והודעה המשותפת על הכלי הזה מתועדת לדורות הבאים, אז לדליפות יש פוטנציאל לגרום לנזק של ממש.

וכפי שגילתה טוויטר השבוע, הדלפות הן לא הדבר היחיד שהיא צריכה לדאוג לגביו כשזה מגיע ל-Slack.

עדכון: 19 ביולי 2020, 9:46 בבוקר PDT:דובר סלאק הגיב לבקשתנו להגיב, והדגיש כי נראה שההנדסה החברתית - שבה מישהו (או מספר אנשים) מרומה לחשוף סיסמאות או מידע בעל ערך אחר - נראה שהבעיה כאן.

האבטחה של Slack ושלמות הפלטפורמה שלנו לא נפגעו בשום צורה. כפי שאמרה טוויטר, הם מאמינים שהתקפה זו הושגה באמצעות הנדסה חברתית על ידי אנשים שהצליחו להתמקד בחלק מהעובדים שלהם עם גישה למערכות וכלים פנימיים. טקטיקות של הנדסה חברתית, כגון תוכניות דיוג, משמשות לעתים קרובות על ידי תוקפים כדי להשיג אישורים חוקיים או מידע אישי אחר.

זה, כמובן, לא משנה את העובדה שנתוני טקסט פשוטים המשותפים ב-Slack - אם האדם הלא נכון יראה אותם - יכולים להיות עקב אכילס של החברה. כמו תמיד, משתלם לצפות במה שאתה מפרסם.

סרטון קשור: קל להפתיע להיות בטוח יותר באינטרנט