Slack : importante fuite de données chez les utilisateurs de bots
Par Arthur - Mis à jour le
D'après les dernières recherches de Detectify, cette qualité cache également une large faille, qui a permis à des pirates d'accéder aux informations sensibles partagées par les utilisateurs, notamment les conversations des équipes, les messages privés et les fichiers échangés sur la plateforme.
Les chercheurs pointent du doigt une négligence dans la conception des
Slack Bots, en expliquant que certains développeurs intègrent des jetons liés à leur compte personnel dans le code de leur bot, et oublient de l'effacer au moment de l'ajouter à la plateforme, permettant ainsi aux malandrins d'accéder au code source et de se frayer un chemin jusqu'aux conversations privées.
Les équipes de Detectify auraient déjà trouvé plus de 1500 jetons liés à des bots sur GitHub, et continueraient d'en croiser de nouveaux chaque jour. Parmi les jetons découverts, certains appartiendraient à d'importantes sociétés et institutions, dont des compagnies appartenant au classement
Forbes 500et de prestigieuses universités.
Contacté par les chercheurs, Slack a rapidement réagi en révoquant les jetons découverts par Detectify et en avertissant directement les utilisateurs et les équipes concernés.
Source (via)