小心！别在Github上泄露了你Slack的token

大量的开发者们把他们的Slack登录凭证上传到了Github和其他公开网站上，任何人都可以偷偷监控他们的对话，或者下载通过Slack传输的数据。

Slack是一个基于云的团队沟通协作平台。它是聊天群组 + 大规模工具集成 + 文件整合 + 统一搜索。截至2014年底，Slack 已经整合了电子邮件、短信、Google Drive、Twitter、Trello、Asana、GitHub 等 65 种工具和服务，把可以把各种碎片化的企业沟通和协作集中到一起。

2015年2月Slack企业聊天工具成立一周年且日活跃用户达到50万人，2015年前6周的增幅就高达35%（至少增加13万人），用户发送的聊天信息达到17亿条。

根据周四的一篇博文，Detectify公司的研究人员最近估计，大约1500个token被公布在了网上，有些甚至是属于财富500强的公司，支付提供商、ISP、医保提供商。研究人员私下把他们的发现汇报给了Slack，Slack称，它会经常监控，检查是否有敏感的token泄漏。

Github泄露大量Slack token

在Github搜索"xoxp"，返回了超过7400个结果，这个"xoxp"是让自动化脚本访问Slack账号时会用到的token的前缀，即使开启了二步验证也会有这个前缀。另一个搜索则找到了超过4100个前缀是"xoxb"的Slack token。

不是所有的搜索结果都有用于登录帐号所要用到的所有token，但是很多结果有。开发者们无意中把tokens包含在代码中然后公布在互联网上，这样任何人都可以偷偷监控开发者与公司之间的对话，或者下载通过Slack传输的数据。

“最糟糕的情况是，这些token可以泄露产品数据库密码、源代码或者是加密的文件和敏感信息，”博文中写道，“Detectify仅仅通过在Github上搜索已经找到大量的token，并且新上传的token每天都在增加。”

脚本可以使得关联的账户自动执行各种各样的任务，比如对定期会议进行提醒、或者将联系人信息提供给其他用户。很多开发者会把这些所谓的机器人脚本发布在Github或其他公开的代码仓库上。

实际上，这种把敏感登录信息发布在Github上的事情一点也不新鲜，在之前50000名Uber司机数据泄露的事件中，正是一名开发者不小心把数据库密钥放在了两个Github页面上。

漏洞盒子也专门发布过调查报告，对国内企业在Github上的信息泄露进行了调查，结果万达、步步高等知名企业也中了枪。

Slack官方声明

在声明中，Slack写到：

Slack很清楚，token应该被跟密码一样对待。当开发者们生成token时，我们会警告他们不要分享给其他用户或其他程序。我们客户的安全对我们至关重要，我们会持续改进我们的文档，提醒客户保证安全。

我们在监控着公开的token，一旦我们发现了公开的token，我们会撤销他们并且通知创建token的用户和受影响的团队。

如何防范

Slack监控公开token的做法值得肯定，但是token上传的速度太快了，可能手速快的黑客可以在撤销之前找到它们。把Slack脚本/机器人上传到Github不应该把token一起上传上去，而是应该使用环境变量使token不出现在代码里面。

*参考来源：Ars、新浪科技，FB小编Sphinx编译，文章有修改，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）