חלק ממפתחי הבוטים של Slack היו רשלניים, ועכשיו אתה יכול למצוא את אסימוני ה-Slack שלהם בחיפוש פשוט של GitHub. קרדיט: Slack
אם אתה מבצע שאילתה מאוד ספציפית בשדה החיפוש של מאגר הקוד המקוון Github, שבו רביםרָפוּיפרויקטים של בוטים מאוחסנים, אתה יכול לקבל מידע שעשוי לאפשר לך לגשת לשלל נתונים ארגוניים, כולל צ'אטים וקבצים פנימיים של חברות.
הסיבה לכך היא שהרבה מפתחי Slack Bot -- ויש הרבה מהם, מכיוון שבניית בוט Slack היא די קלה -- כללו את אסימוני Slack שלהם (אישורים אישיים של חשבון Slack) ישירות בקוד, שהם חולקים בפומבי ב- Github .
ראה גם:
הבעיה התגלתה על ידי חברת האבטחה Detectify, שהודיעה על כך לסלאק ב-26 במרץ. Detectifyהצליח למצוא"אלפי" אסימונים כאלה עם חיפוש פשוט של GitHub. הסיפור היה ראשוןדיווחעַל יְדֵיקְוָרץ.
אסימונים מכל הסוגים אינם נדירים ב-GitHub, אך הבעיה מחמירה על ידי האופן שבו בנויים אסימוני Slack. במקרה של אסימונים פרטיים ואסימוני בוט מותאמים אישית, הם מחרוזת של תווים המשתמשים בפורמטים הבאים:
xoxp-XXXXXXXXX-XXXXXXXXXXXXXXXXXXX
xoxb-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXXX
חיפוש פשוט אחר קידומות ארבע האותיות ב- GitHub יביא לך הרבה אסימונים בטקסט רגיל, שהצלחנו לשכפל.
אם מעולם לא בניתם שום דבר על פלטפורמת Slack, אתם עשויים לחשוב שזה לא משפיע עליכם, ובמקרים רבים זה נכון. אבל בארגונים עסקיים גדולים יותר, בהחלט ייתכן שאחד מחברי הצוות בנה בוט של Slack וחשף בטעות את אסימון ה-Slack שלו, מה שעלול לחשוף את נתוני החברה.
אנשים מבחוץ יכולים לקבל בקלות גישה לשיחות צ'אט פנימיות, קבצים משותפים, הודעות ישירות ואפילו סיסמאות.
"באמצעות האסימונים אפשר לצותת לחברה. מבחוץ יכולים לקבל בקלות גישה לשיחות צ'אט פנימיות, קבצים משותפים, הודעות ישירות ואפילו סיסמאות לשירותים אחרים אם אלו שותפו ב-Slack", כותבת Detectify.
מהירות אור ניתנת לריסוק
החוקרים ב-Detectify מצאו אסימונים השייכים לחברות Fortune 500, ספקי תשלומים, ספקי שירותי אינטרנט, ספקי שירותי בריאות, משרדי פרסום, חוגים באוניברסיטאות ועיתונים, בין השאר. ובאמצעות האסימונים הללו, הם חשפו אישורי מסד נתונים, הודעות פרטיות ופרטי התחברות עבור שירותים אחרים.
החדשות הטובות הן שהבעיה ברובה כבר תוקנה. סלאק הגיב לבעיה ואמר ל-Detectify שהם "ביטלו את האסימונים שדיווחתם עליהם, הודיעו ישירות למשתמשים המושפעים ולבעלי הצוותים, ושאנחנו נעשה זאת באופן יזום קדימה".
במילים אחרות, אם מישהו עושה את אותה טעות שוב, Slack ישבית את האסימונים ויזהיר אותם -- כפי שניתן לראות ב-הוֹדָעָהSlack החל לאחרונה לשלוח לכמה מפתחים.
מפתחים, באופן כללי, צריכים לדאוג לא למקם טוקנים ישירות בקוד ולהשתמש במשתני סביבה במקום זאת. מנהלי Slack יכולים לוודא שרק בעלי צוות וחברי Slack נבחרים יכולים ליצור אסימונים ואינטגרציות; האפשרות נמצאת בהגדרות הניהול של Slack.
ניתן למעוךיצר קשר עם Slack בנוגע לנושא. "Slack ברור וספציפי שצריך להתייחס לאסימונים בדיוק כמו סיסמאות. אנחנו מזהירים מפתחים כשהם יוצרים אסימון לעולם לא לשתף אותו עם משתמשים או יישומים אחרים", אמר דובר Slack באימייל.
לדברי הדובר, סלאק תמשיך לשפר את התיעוד והתקשורת שלה כדי לוודא שהמפתחים יבינו זאת.
"מטעמי פרטיות, איננו משתפים מידע על הצוותים שהושפעו, אולם כל האסימונים המדווחים הושבתו, כמו גם אחרים שמצאנו באופן יזום. הודענו הן למשתמשים שיצרו את האסימונים, כמו גם לבעלים של המושפעים. צוותים", כתבה.
פלטפורמה פופולרית לתקשורת ארגונית (גילוי נאות: אנו משתמשים ב-Slack בניתן למעוך), התגאה סלקיותר מ-2.3 מיליון משתמשים פעילים מדי יוםבפברואר.
יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.
סטן הוא עורך בכיר ב-Mashable, שם הוא עובד מאז 2007. יש לו יותר גאדג'טים וחולצות טריקו מונעי סוללה ממך. הוא כותב על הדבר פורץ הדרך הבא. בדרך כלל, זהו טלפון, מטבע או מכונית. המטרה הסופית שלו היא לדעת משהו על הכל.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
