企業協作平臺Slack資料洩露，駭客竊取其部分私有程式碼庫

近日，企業協作平臺Slack在公告中承認了一起資料洩露事件，駭客盜取了其部分私有程式碼庫（軟體程式碼庫，除了程式碼本身，還儲存文件、註釋、網頁以及跟蹤修改）。

Slack是聊天群組+大規模工具整合+檔案整合+統一搜尋。截至2014年底，Slack 已經整合了電子郵件、簡訊、Google Drives、Twitter、Trello、Asana、GitHub 等 65 種工具和服務，可以把各種碎片化的企業溝通和協作集中到一起。據悉，Slack是有史以來發展最快的SaaS公司。

根據Slack公司的披露，事件發生在2022年12月29日，當時公司收到了 GitHub 帳戶可疑活動的通知，在調查後發現了此次安全事件。調查顯示，少量Slack 員工令牌被盜，並被用於訪問其外部託管的GitHub儲存庫。而駭客已於12月27日下載了私有程式碼庫。但Slack表示駭客所下載的儲存庫均未包含客戶資料、訪問客戶資料的方法或是Slack的主要程式碼庫。

為應對此次事件，Slack立即使被盜的令牌失效，並開始調查事件是否會對其客戶造成影響。根據目前的調查結果，駭客未能訪問Slack環境的其他區域，比如生產環境，也未能訪問其他Slack資源或客戶資料。因此，事件不會對Slack公司的程式碼或服務造成影響。為了預防此類事件再次發生，Slack公司還輪換了所有相關憑證。

根據當前可用的資訊，該起安全事件中的未經授權的訪問並非是由Slack固有的漏洞造成的。Slack表示將繼續調查及監測，並保持安全性、隱私性和透明度。根據Slack公告，其客戶沒有受到影響，無需採取任何額外措施。

編輯：左右裡

資訊來源：slack.com

轉載請註明出處和本文連結

每日漲知識

明文（cleartext）

在資料通訊中，明文是一種訊息或資料形式，傳送或儲存都不採用密碼保護。

﹀

﹀

﹀