Корпоративный мессенджер Slack уже называли самым быстрорастущим бизнес-приложением в истории, и он заслуженно любим пользователями. Одной из приятных особенностей Slack, в числе прочего, является то, что его API позволяет писать небольших ботов для автоматизации разных операций. Исследователи Detectify Labs сообщили, что эта безобидная функциональность угрожает безопасности многих компаний. Разработчики публикуют коды своих ботов на GitHub и в других репозиториях, совершенно не задумываясь о том, что исходники содержат токены аутентификации для их корпоративного Slack.

Специалисты Detectify Labs выяснили, что получить доступ к чужому Slack и закрытым данным компании очень легко. Начать можно с простого шага: поискать на GitHub буквосочетания «xoxp» и «xoxb». Все токены Slack маркируются именно таким образом, и поиск по первому запросу, на данный момент, возвращает более 7400 результатов. Токены xoxb создаются специально для ботов, а xoxp относятся к личным.

slack-tokens-on-github-640x435

Исследователи пишут, что суммарно им удалось обнаружить более 1500 разных токенов. Преимущественно они содержались в открытых исходных кодах Slack-ботов, то есть были опубликованы самими разработчиками. По всей видимости, многим разработчикам не приходило в голову, что токен может использоваться не только ботом. Токен точно так же может быть применен и злоумышленником. Заполучить чужой токен «xoxp», всё равно что иметь на руках логин и пароль пользователя. Slack API позволяет обладателю токена получить доступ к файлам и истории сообщений каналов, информации о группе, приватным сообщениям пользователей и так далее.

Вооружившись чужим токеном, атакующий способен скачать чужую историю сообщений, а затем поискать в логах корпоративного мессенджера учетные данные от внутренних ресурсов компании, информацию о личных аккаунтах сотрудников и другую, не предназначенную для посторонних глаз, информацию. Не спасет даже двухфакторная аутентификация, если она наличествует.

Эксперты Detectify Labs отмечают, что они обнаружили в открытом доступе токены от каналов компаний из списка Forbes 500, среди которых есть крупные платежные сервисы, интернет-провайдеры, СМИ и медицинские организации.

«На GitHub полно различной закрытой информации. Slack просто сделал поиск токенов очень простым, учитывая их формат. Мы надеемся, что этот информационный бюллетень поможет людям осознать, насколько серьезными в реальности могут быть последствия раскрытия токенов», —  подводят итог Detectify Labs.

Разработчики Slack уже знают о проблеме. Все обнаруженные исследователями токены были аннулированы, и сейчас команда Slack работает над уведомлением пользователей о происшедшем. Представители Slack подчеркивают, что к токенам нужно относиться как к паролям, и ни в коем случае не нужно публиковать их в открытом доступе.

Screen-Shot-2016-04-28-at-14.53.38
Такие письма разработчики Slack начали рассылать компаниям

Оставить мнение