小心!别在Github上泄露了你Slack的token

大量的开发者们把他们的Slack登录凭证上传到了Github和其他公开网站上,任何人都可以偷偷监控他们的对话,或者下载通过Slack传输的数据。

Slack是一个基于云的团队沟通协作平台。它是聊天群组 + 大规模工具集成 + 文件整合 + 统一搜索。截至2014年底,Slack 已经整合了电子邮件、短信、Google Drive、Twitter、Trello、Asana、GitHub 等 65 种工具和服务,把可以把各种碎片化的企业沟通和协作集中到一起。

2015年2月Slack企业聊天工具成立一周年且日活跃用户达到50万人,2015年前6周的增幅就高达35%(至少增加13万人),用户发送的聊天信息达到17亿条。

根据周四的一篇博文,Detectify公司的研究人员最近估计,大约1500个token被公布在了网上,有些甚至是属于财富500强的公司,支付提供商、ISP、医保提供商。研究人员私下把他们的发现汇报给了Slack,Slack称,它会经常监控,检查是否有敏感的token泄漏。

Github泄露大量Slack token

在Github搜索"xoxp",返回了超过7400个结果,这个"xoxp"是让自动化脚本访问Slack账号时会用到的token的前缀,即使开启了二步验证也会有这个前缀。另一个搜索则找到了超过4100个前缀是"xoxb"的Slack token。

不是所有的搜索结果都有用于登录帐号所要用到的所有token,但是很多结果有。开发者们无意中把tokens包含在代码中然后公布在互联网上,这样任何人都可以偷偷监控开发者与公司之间的对话,或者下载通过Slack传输的数据。

“最糟糕的情况是,这些token可以泄露产品数据库密码、源代码或者是加密的文件和敏感信息,”博文中写道,“Detectify仅仅通过在Github上搜索已经找到大量的token,并且新上传的token每天都在增加。”

脚本可以使得关联的账户自动执行各种各样的任务,比如对定期会议进行提醒、或者将联系人信息提供给其他用户。很多开发者会把这些所谓的机器人脚本发布在Github或其他公开的代码仓库上。

实际上,这种把敏感登录信息发布在Github上的事情一点也不新鲜,在之前50000名Uber司机数据泄露的事件中,正是一名开发者不小心把数据库密钥放在了两个Github页面上。

漏洞盒子也专门发布过调查报告,对国内企业在Github上的信息泄露进行了调查,结果万达、步步高等知名企业也中了枪。

Slack官方声明

在声明中,Slack写到:

Slack很清楚,token应该被跟密码一样对待。当开发者们生成token时,我们会警告他们不要分享给其他用户或其他程序。我们客户的安全对我们至关重要,我们会持续改进我们的文档,提醒客户保证安全。

我们在监控着公开的token,一旦我们发现了公开的token,我们会撤销他们并且通知创建token的用户和受影响的团队。

如何防范

Slack监控公开token的做法值得肯定,但是token上传的速度太快了,可能手速快的黑客可以在撤销之前找到它们。把Slack脚本/机器人上传到Github不应该把token一起上传上去,而是应该使用环境变量使token不出现在代码里面。

*参考来源:Ars、新浪科技,FB小编Sphinx编译,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-04-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我是攻城师

Google证实下个版本的Android将不使用甲骨文的Java API

3066
来自专栏子勰随笔

SDK开发经验之版本

5379
来自专栏运维平台规划

巧妙的CMDB设计,减少告警对运维的轰炸

本文主要介绍运维CMDB的设计思路,恰当的CMDB设计,对运维效率的提升,如收敛告警和故障自愈等,有着意向不到的效果。

5074
来自专栏领域驱动设计DDD实战进阶

领域驱动设计之体系架构模式

3326
来自专栏IT 指南者专栏

全栈编程实战项目(一)

上次给大家推荐了一些全栈编程的学习资源,看了下后台,还是有很多人愿意去挑选资料去看去学习的。

3814
来自专栏NetCore

对于大数据大流量情况下微软架构的水平扩展的遐想(瞎想)

最近回顾SAAS的书籍,书中的扩展架构都有点让我痴迷,但书中介绍的都是以Java,Apache,JBoss,Hadloop等技术实现负载均衡,大数据处理,对于微...

2258
来自专栏网站设计制作、数字营销

网站突然增加了不相关的链接的可能原因

有时有的公司可能会遇到公司的网站在首页或者内页突然被添加加了不相关的链接,可以肯定不是公司内部人添加的,那么这种无端被添加了不相关的链接的可能原因是什么?下面就...

1343
来自专栏性能与架构

APP性能测试方便了

可能很多人都不是做APP开发的,但这个工具非常有用,可以推荐给做APP的朋友,一定会帮到他 腾讯开源了一个APP调试平台 - GT GT(简称随身调)是可以直...

4446
来自专栏小白课代表

再见,广告。

火绒已经给小伙伴们推荐过好多次了,今天详细讲一下如何使用Adblock Plus。

1543
来自专栏智能计算时代

Salesforce架构师的网络最佳实践

对于在Salesforce平台上实现应用程序的架构师或开发人员来说,在分析应用程序性能时,网络性能测试变得越来越重要。本指南涵盖了帮助您识别风险并找到网络相关挑...

1212

扫码关注云+社区

领取腾讯云代金券