Slack 的GitHub 私有仓库被盗

Slack 在2022年12月31日发布安全事件通告时表示，威胁行动者通过被盗的数量“有限的”Slack 员工令牌，访问了Slack在外部托管的GitHub 仓库。虽然某些私有仓库遭攻陷，但Slack 的主要代码库和客户数据不受影响。

该公司发布通告表示，“2022年12月29日，我们收到关于GitHub 账户上存在可疑活动的通知。调查后我们发现数量有限的Slack员工的令牌被盗，并被滥用于获得对外部托管的GitHub仓库的访问权限。我们的调查还显示威胁行动者在12月27日西下载了私有代码仓库。所下载仓库中不包括客户数据、访问客户数据的方式以及Slack的主要数据库。”

Slack 公司已验证被盗令牌并表示正在调查对客户的“潜在影响”。目前，并未发现Slack 环境的敏感区域如生产环境等被访问的迹象。不过谨慎起见，该公司已修改相关机密信息。Slack安全团队表示，“从目前可用信息来看，越权访问并非源自Slack公司内部的漏洞，我们将继续调查此事并监控进一步的泄露情况。”

讽刺的是，Slack 虽然在安全更新中表示，“非常严肃对待用户的安全、隐私和透明度”，但却需要注意一些事项。对于新用户而言，其“新闻”内容并不像其它文章一样，位于其国际新闻博客网站上。另外，和以往的博客文章不同，本次安全更新（当在一些区域访问时，如英国）被标记为 “noindex”，即无法从搜索引擎结果中搜索到该网页，因此用户更难以发现该更新页面。

进一步分析后发现，包含“noindex”属性的“meta”标签本身位于该页面HTML代码中的底部被隐藏。也就是说查看源代码的人员无法立即看到这个隐藏的标签，除非主动搜索其源代码。但一般而言，HTML标头和meta标签位于页面顶部。不过搜索发现，谷歌已经在不加标签的情况下索引了美国地区的安全公告。

企业用于限制不同寻常新闻可见性的技术还包括使用地理围栏并定制robots.txt文件。这类技术，包括在重要发布中使用 “noindex”的技术通常为人诟病。尽管在某些情况下，如果目标是实现生成 “canonical”链接，则“noindex”属性可能会被错误应用。去年，信息安全记者兼编辑Zack Whittaker 曾指出，LastPass和GoTo 应用了类似技术。

2022年8月，Slack 在另外一起安全事件中不慎泄露密码哈希后重置了用户密码。丝毫不令人惊奇的是，那次公告也被打上了”noindex”的标记（美国和国际版均如此）。2019年，Slack 表示已经为受2015年数据泄露事件影响的约1%的用户重置密码。

不过，好消息是，目前客户尚无需采取任何措施。

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~