Slack は、休暇中にセキュリティ インシデントに見舞われ、一部のプライベート GitHub コード リポジトリに影響が及びました。
非常に人気のある Salesforce 所有の IM アプリは、世界中の職場やデジタル コミュニティで推定 1,800 万人のユーザーに使用されています。
顧客データは影響を受けません
は、2022 年 12 月 31 日に Slack によって発行されたセキュリティ インシデントの通知に遭遇しました。
この事件は、盗まれた「限られた」数の Slack 従業員トークンを介して、Slack の外部でホストされている GitHub リポジトリへのアクセスを取得する脅威アクターに関係しています。
同社によると、Slack のプライベート コード リポジトリの一部が侵害されましたが、Slack の主要なコードベースと顧客データは影響を受けていません。
大晦日に発表された通知 [1、2 ]の文言は次のとおりです。
「2022 年 12 月 29 日、当社の GitHub アカウントで不審なアクティビティが報告されました。調査の結果、限られた数の Slack 従業員トークンが盗まれ、悪用されて、外部でホストされている GitHub リポジトリにアクセスしていたことが判明しました。当社の調査では、次のことも明らかになりました。攻撃者は 12 月 27 日にプライベート コード リポジトリをダウンロードしました。ダウンロードされたリポジトリには、顧客データ、顧客データへのアクセス手段、または Slack のプライマリ コードベースが含まれていませんでした。」
その後、Slack は盗まれたトークンを無効にし、顧客への「潜在的な影響」を調査していると述べています。
現時点では、本番環境を含む Slack の機密領域にアクセスされた兆候はありません。ただし、注意を払って、会社は関連する秘密をローテーションしました。
Slack のセキュリティ チームは、「現在入手可能な情報に基づくと、不正アクセスは Slack 固有の脆弱性に起因するものではありませんでした。今後も調査と監視を続けて、さらなる暴露を目指します」と述べています。
検索エンジンに表示されないセキュリティ アップデート
皮肉なことに、このセキュリティ アップデートは、Slack が「セキュリティ、プライバシー、および透明性を非常に真剣に考えている」と述べていますが、いくつかの奇妙な警告が付属しています。
まず第一に、この「ニュース」項目は、記事の執筆時点では、他の記事の中で会社のニュース ブログには表示されません。
さらに、Slack の以前のブログ投稿とは異なり、この更新には「 noindex 」というマークが付けられています。これは、検索エンジンの結果から Web ページを意図的に除外するために使用される HTML 機能であり、その結果、ページを発見することが不可能ではないにしても困難になります。
さらに、「noindex」属性を含む「meta」タグ自体が、ページの HTML コード内の下部に向かって配置され、途切れることなくオーバーフローする細長い行になっていることがわかりました。つまり、ソース コードを表示している人 (私たちのように) は、ソース コードを積極的に検索 (Ctrl+F) しない限り、埋もれたタグをすぐに見ることができません。規則に従って、HTML の head タグと meta タグは通常、ページの上部に配置されます。
奇妙なニュースの可視性を制限しようとしている企業が採用しているその他の手法には、 ジオフェンシングの使用やrobots.txtファイルの調整が含まれる場合があります。しかし、重要なアナウンスでの「noindex」の使用を含むこのような手法は、一般的に嫌われています。
昨年、infosec のレポーター兼編集者である Zack Whittaker は、LastPass の2022 年のセキュリティ侵害の開示で同様の戦術を採用したとして、LastPass と GoTo を非難しました。
悲しいことに、この動きは Slack ではうまくいかなかったようです。
「noindex」タグがさかのぼって、かなり遅れて追加されたように見えることに気付きました。これは、Google が元のアドバイザリを 1 つも含めずにキャッシュしていた後でした。そのため、Google のインデックスがキャッシュから取得済みのアドバイザリを削除するまでに時間がかかる場合があります。
2022 年 8 月、別のインシデントで誤ってパスワード ハッシュが公開された後、 Slack はユーザー パスワードをリセットしました。当然のことながら、その特定の通知には「noindex」というマークも付けられています。
2019 年、Slack は、2015 年のデータ侵害の影響を受け、設定された基準をさらに満たしたユーザーの約 1% のパスワードをリセットしたと発表しました。
幸いなことに、最新のセキュリティ アップデートに関して、お客様は今のところ何もする必要はありません。
Comments