Et tusentalls bedrifter har røpet sine hemmelige innloggings-tokens til Slack.
Dermed er det en smal sak å avlytte potensielt virksomhetskritisk kommunikasjon og avskjære dokumenter, chat og data, som bare er ment for virksomhetens egne ansatte.
Hva er Slack, sier du? Les deg opp på den populære gruppevaren som har vokst kraftig i utbredelse det siste året.
Noe av det som har lokket massene til å bruke Slack er plattformens fleksibilitet og mulighet for enkel integrasjon med andre tjenester.
Det inkluder såkalte boter eller skript laget for å automatisere ellers manuelle oppgaver. Utallige slike prosjekter er delt i åpen kildekode på Github, men her har det tydeligvis gått litt raskt i svingen for noen og enhver.
Enkle søk på Github har avdekket minst 1500 ulike Slack-tokens, ifølge sikkerhetsforskere i firmaet Detectify.
At koden ikke er renset for denne typen data kan tilsvare at virksomhetene det gjelder åpent publiserer sin egen inngangsnøkkel.
For koden kan misbrukes til å skaffe seg tilgang til Slack-kontoer, selv om de måtte være beskyttet av to-faktor autentisering, skriver Ars Technica.
Avsløringen ser ut til å ha vært gjort på forsvarlig vis. Nærmere bestemt skal forskerne ha ventet med å røpe fremgangsmåten og funnene sine, inntil Slack rakk å trekke tilbake de lekkede innloggings-tokene.
Skjedd før
Det er heller ikke første gang nøkler har blitt lemfeldig delt. Github er verdens største kodedepot, og man må ta for gitt at det er aktører som søker gjennom databasene på leting nettopp etter prefiks, innloggingsdetaljer, passord og annen sensitiv informasjon utviklere kan ha glemt å fjerne fra kildekoden før opplasting.
Tidligere har digi.no omtalt at tusener av Amazon-utviklere risikerte sjokkregning etter å ha lekket sine egne kontodetaljer samme sted.
