近日,企業協作平臺Slack在公告中承認了一起資料洩露事件,駭客盜取了其部分私有程式碼庫(軟體程式碼庫,除了程式碼本身,還儲存文件、註釋、網頁以及跟蹤修改)。
Slack是聊天群組+大規模工具整合+檔案整合+統一搜尋。截至2014年底,Slack 已經整合了電子郵件、簡訊、Google Drives、Twitter、Trello、Asana、GitHub 等 65 種工具和服務,可以把各種碎片化的企業溝通和協作集中到一起。據悉,Slack是有史以來發展最快的SaaS公司。
根據Slack公司的披露,事件發生在2022年12月29日,當時公司收到了 GitHub 帳戶可疑活動的通知,在調查後發現了此次安全事件。調查顯示,少量Slack 員工令牌被盜,並被用於訪問其外部託管的GitHub儲存庫。而駭客已於12月27日下載了私有程式碼庫。但Slack表示駭客所下載的儲存庫均未包含客戶資料、訪問客戶資料的方法或是Slack的主要程式碼庫。
為應對此次事件,Slack立即使被盜的令牌失效,並開始調查事件是否會對其客戶造成影響。根據目前的調查結果,駭客未能訪問Slack環境的其他區域,比如生產環境,也未能訪問其他Slack資源或客戶資料。因此,事件不會對Slack公司的程式碼或服務造成影響。為了預防此類事件再次發生,Slack公司還輪換了所有相關憑證。
根據當前可用的資訊,該起安全事件中的未經授權的訪問並非是由Slack固有的漏洞造成的。Slack表示將繼續調查及監測,並保持安全性、隱私性和透明度。根據Slack公告,其客戶沒有受到影響,無需採取任何額外措施。
編輯:左右裡
資訊來源:slack.com
轉載請註明出處和本文連結
每日漲知識
明文(cleartext)
在資料通訊中,明文是一種訊息或資料形式,傳送或儲存都不採用密碼保護。
﹀
﹀
﹀