Fikk tilgang til Slacks private GitHub-repoer - kildekode på avveie

Sikkerhets-teamet oppdaget mistenkelig aktivitet på GitHub-kontoen.

Den populære meldingstjenesten Slack ble i romjulen utsatt for et sikkerhetsbrudd. 📸: S<a href="https://unsplash.com/@hostreviews?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">tephen Phillips - Hostreviews.co.uk</a> / <a href="https://unsplash.com/photos/aE0iX-bLCJc?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
Den populære meldingstjenesten Slack ble i romjulen utsatt for et sikkerhetsbrudd. 📸: Stephen Phillips - Hostreviews.co.uk / Unsplash Vis mer

Meldingstjenesten Slack har blitt utsatt for et angrep, skriver Bleeping Computer.

Slack eies av SalesForce og er en av verdens mest populære meldingsplattformer, med rundt 18 millioner aktive brukere.

Oppdaget mistenkelig aktivitet

Den 29. desember oppdaget Slacks sikkerhetsteam mistenkelig aktivitet på sin GitHub-konto.

Da sikkerhetsteamet undersøkte saken nærmere, la de merke til at et begrenset antall med ansattes sikkerhets-tokens hadde blitt stjålet. Disse hadde så blitt brukt av angripere til å skaffe seg urettmessig tilgang til Slacks GitHub-repoer.

Slack innrømmer at angriperne den 27. desember klarte å laste ned kode fra private repoer. Ifølge Slack inneholdt ingen av repoene kundedata, og heller ikke Slacks hoved-kodebase.

Ingen kundedata på avveie

Alle de stjålene tokensene ble raskt gjort ugyldige, i tillegg til at alle relevante passord og tilganger for ansatte skal ha blitt tilbakestilt. Slack mener verken brukere eller Slacks kode eller tjenester skal ha blitt berørt på noen måte, men de fortsetter likevel å undersøke saken.

Det er ikke første gang Slack har vært utsatt for sikkerhetshendelser. I august 2022 måtte Slack resette passordene til 0,5 prosent av brukermassen etter å ha oppdaget en bug der saltede passord-hasher ble sendt til andre brukere ved deling av Slack-invitasjonslenker.

Passordene ble altså ikke sendt i klartekst, og hashing av passord lar seg ikke uten videre reversere. Men om noen brukere har valgt enkle passord, kan det likevel være mulig å få tilgang til dem ved å bruke "brute force"-metoder.