La messagerie Slack for Desktop, très populaire au sein de nombreuses sociétés, associations et organisations et comptant plus de 2,7 millions d'utilisateurs actifs chaque jour, comprend un vaste catalogue de bots pouvant être intégrés pour ajouter des services, et permet à qui le souhaite de créer des bots personnalisés en fonction des besoins de chaque équipe.
D'après les dernières recherches de Detectify, cette qualité cache également une large faille, qui a permis à des pirates d'accéder aux informations sensibles partagées par les utilisateurs, notamment les conversations des équipes, les messages privés et les fichiers échangés sur la plateforme.
Les chercheurs pointent du doigt une négligence dans la conception des Slack Bots, en expliquant que certains développeurs intègrent des jetons liés à leur compte personnel dans le code de leur bot, et oublient de l'effacer au moment de l'ajouter à la plateforme, permettant ainsi aux malandrins d'accéder au code source et de se frayer un chemin jusqu'aux conversations privées.
Les équipes de Detectify auraient déjà trouvé plus de 1500 jetons liés à des bots sur GitHub, et continueraient d'en croiser de nouveaux chaque jour. Parmi les jetons découverts, certains appartiendraient à d'importantes sociétés et institutions, dont des compagnies appartenant au classement Forbes 500 et de prestigieuses universités.
Contacté par les chercheurs, Slack a rapidement réagi en révoquant les jetons découverts par Detectify et en avertissant directement les utilisateurs et les équipes concernés.
