Slack, tatillerde bazı özel GitHub kod depolarını etkileyen bir güvenlik olayı yaşadı.
Son derece popüler Salesforce'a ait IM uygulaması, dünyadaki işyerlerinde ve dijital topluluklarda tahmini 18 milyon kullanıcı tarafından kullanılmaktadır.
BleepingComputer, 31 Aralık 2022'de Slack tarafından yayınlanan bir güvenlik olayı bildirimiyle karşılaştı.
Olay, çalınan "sınırlı" bir Slack çalışan jetonu ile Slack'in harici olarak barındırılan GitHub depolarına erişim kazanan tehdit aktörlerini içeriyor.
Şirkete göre Slack'in özel kod depolarının bazıları ihlal edilirken, Slack’in birincil kod tabanı ve müşteri verileri etkilenmedi.
Yılbaşı Gecesi'nde yayınlanan bildirimden [1, 2] ifadeler aşağıdaki gibidir:
"29 Aralık 2022'de GitHub hesabımızdaki şüpheli faaliyetlerden haberdar olduk. Soruşturma üzerine, sınırlı sayıda gevşek çalışan jetonunun çalındığını ve harici olarak barındırılan GitHub depomuza erişmek için kötüye kullanıldığını keşfettik. Tehdit oyuncusu 27 Aralık'ta özel kod depolarını indirdi. İndirilen depolar müşteri verileri içermiyordu, müşteri verilerine veya Slack'in birincil kod tabanına erişmek anlamına geliyor. "
Slack o zamandan beri çalınan jetonları geçersiz kıldı ve müşterilere "potansiyel etkiyi" araştırdığını söyledi.
Şu anda, Slack'in ortamının üretim de dahil olmak üzere hassas alanlarına erişildiğine dair bir gösterge yoktur. Ancak, şirket ilgili sırları döndürdü.
Slack'in güvenlik ekibinin, "Şu anda mevcut bilgilere dayanarak, yetkisiz erişim, gevşekliğin doğasında olan bir güvenlik açığından kaynaklanmadı. Daha fazla maruz kalmayı araştırmaya ve izlemeye devam edeceğiz."
İronik bir şekilde, güvenlik güncellemesi "güvenliğinizi, gizliliğinizi ve şeffaflığınızı çok ciddiye almaktan" Slack'ten bahsediyor ve yine de bazı uyarılarla geliyor.
Yeni başlayanlar için, bu "haber" öğesi, şirketin uluslararası haber blogunda yazma sırasında diğer makaleleri bir kenara bırakmıyor.
Ayrıca, Slack'in önceki blog yayınlarının aksine, bu güncelleme (bazı bölgelerde, örneğin İngiltere'de erişildiğinde) 'noindex' ile işaretlenmiştir - bir web sayfasını arama motoru sonuçlarından hariç tutmak için kullanılan bir HTML özelliğidir, böylece sayfa.
BleepingComputer ayrıca, "NoindEx" özniteliğini içeren "meta" etiketinin kendisinin, sayfanın HTML kodunun içine, kırılmadan taşan uzun bir çizgide altına yerleştirildiğini gözlemledi. Bu, kaynak kodunu (bizim gibi) görüntüleyenlerin, aktif olarak (CTRL+F) kaynak kodunu aramadıkça gömülü etiketi kolayca göremeyeceği anlamına gelir. Sözleşme başına, HTML Head ve Meta etiketleri genellikle bir sayfanın üstüne yerleştirilir.
Yine de, Google'ın etiket olmadan yayınlanan ABD danışmanlığını zaten dizine eklemiş olduğunu fark ettik.
Tekinsiz haberlerin görünürlüğünü sınırlamak isteyen işletmeler tarafından kullanılan diğer teknikler, robots.txt dosyasının coğrafi eskrimini ve uyarlanmasını içerebilir. Önemli duyurularda 'Noindex' kullanımı dahil bu tür teknikler genellikle kaşlarını çatır. Bununla birlikte, bazı durumlarda, 'Noindex' özniteliği, amaç 'kanonik' bağlantılar elde etmek için yanlış bir şekilde uygulanabilir.
Geçen yıl, Infosec muhabiri ve editör Zack Whittaker, LastPass'ın LastPass '2022 güvenlik ihlali açıklaması ile benzer taktikler kullanması için LastPass ve Goto'yu çağırdı.
Ağustos 2022'de, ayrı bir olayda şifre karmalarını yanlışlıkla açığa çıkardıktan sonra kullanıcı şifrelerini sıfırlayın. Şaşırtıcı olmayan bir şekilde, bu belirli bildirim aynı zamanda bir 'noindex' (hem ABD hem de uluslararası versiyonlar) ile işaretlenir.
2019 yılında Slack, 2015 veri ihlalinden etkilenen kullanıcıların yaklaşık% 1'i için belirli bir kriterle karşılaşan parolaların sıfırlandığını duyurdu.
İyi haber, en son güvenlik güncellemesi ile ilgili olarak, şimdilik müşteriler tarafından hiçbir işlem yapılmaması gerektiğidir.
Auth0, bazı kaynak kodu depolarının çalınmış olabileceği konusunda uyarıyor
Github depoları hacklendikten sonra OKTA'nın kaynak kodu çalındı
Bilgisayar korsanları bir ayda 20K Github hesapları yapmak için captcha bypass kullanıyor
GitHub, tüm kullanıcıların 2023 sonuna kadar 2FA'yı etkinleştirmesini isteyecek
Github, tüm kamu depoları için ücretsiz gizli tarama yapıyor
Kaynak: Bleeping Computer