توکن امنیتی Slack در Github لو رفته و شرکت‌های زیادی در معرض خطر هستند

بسیاری از توسعه‌دهندگان ندانسته اطلاعات حساس خود و سازمانشان همچون اطلاعات حساس تجاری را با استفاده از توکن‌های دسترسی Slack به Github در معرض دید قرار می‌دهند.
Slack که یک ابزار همکاری تیمی مبتنی بر فضای ابر است، به توسعه‌دهندگان اجازه می‌دهد تا بات‌هایی بسازند و برخی از کارهای خود را به صورت خودکار انجام دهند. برای مثال، بات‌هایی برای مدیریت پروژه، انجام کارهای خارج از دفتر، بات‌های بازی و حتی بات‌هایی برای یادآوری ورزش کردن نیز وجود دارند.
در بسیاری از موارد، این بات‌ها به عنوان پروژه‌های تفریح و سرگرمی ایجاد می‌شوند و توسعه‌دهندگان متوجه نمی‌شوند که این کدها شامل توکن احراز هویت برای حساب‌های Slack هستند. با به اشتراک گذاشتن پروژه‌های خود در Github، توسعه‌دهندگان به دیگران اجازه می‌دهند تا این توکن‌ها را رونوشت کرده و از آنها برای دسترسی به فایل‌ها و گفتگوها استفاده کنند.
یک جستجو در Github که به وسیله شرکت امنیتی Detectify انجام شده است، ۱۵۰۰ توکن را یافته که می‌توان از آن‎ها به صورت بالقوه برای دسترسی به داده‌های حساس استفاده کرد که این داده‌های حساس شامل توکن‌های خصوصی xoxp و توکن‌های بات‌های سفارشی xoxb است.
در یکی از پست‌های وبلاگ این شرکت آمده است: «این توکن‌ها متعلق به کاربران مختلف و شرکت‌های متعددی هستند؛ در میان آنها می‌توان شرکت‌هایی در زمره ۵۰۰ شرکت برتر فوربز Forbes، ارائه دهندگان خدمات پرداخت، خدمات‌دهندگان متعدد اینترنتی و ارائه دهندگان خدمات پزشکی را مشاهده کرد. همچین سازمان‌های تبلیغاتی مشهور که می‌خواهند نشان دهند در داخل چه کاری انجام می‌دهند، کلاس‌های دانشگاهی که برخی از آن‎ها بهترین آموزشگاه‌های جهان هستند. روزنامه‌هایی که بات‌های خود را به عنوان بخشی از فعالیت خود منتشر می‌کنند نیز در زمره آن‎ها هستند و این فهرست می‌تواند لیستی طولانی باشد».
بر اساس گفته‌های محققان،‌ توکن‌هایی که آن‎ها در Github پیدا کرده‌اند دسترسی به اعتبارنامه‌های پایگاه‌های‌ داده، ورود به سرویس‌های داخلی و پیام‌های خصوصی را میسر می‌سازند.
کارشناسان هشدار می‌دهند: «با استفاده از این توکن‌ها، ممکن است بتوان فعالیت‌های یک شرکت را شنود کرد. افرادی از خارج می‌توانند به سادگی به مکالمات داخلی شرکت دسترسی داشته باشند، فایل‌ها و پیام‌های مستقیم و حتی رمزهای عبور را -در صورتی که بر روی Slack به اشتراک گذاشته شده باشند- ببینند».
پس از اینکه در اواخر ماه مارس Detectify به آنها اعلام کرد، Slack توکن‌های به خطر افتاده را باطل کرد و به تیم‌ها و کاربرانی که در معرض خطر بودند اطلاع داد. این شرکت می‌گوید که به دنبال توکن‌هایی است که در معرض عموم قرار گرفته‎اند و به همه مشتریانی که در خطر قرار دارند اطلاع خواهد داد.
محققان اشاره کرده‌اند که ایجاد یک توکن که بتواند دسترسی کامل را مهیا کند، بسیار آسان است، اما آنچه دشوار است ساخت توکنی است که بتوان آن را محدود کرد. هنگامی که توکن‌های خصوصی ایجاد می‌شوند، Slack به کاربران اطلاع می‌دهد که آن‎ها باید توکن خود به عنوان یک رمز عبور تلقی کنند. با این حال،‌ بسیاری از کاربرانی که توسط Detectify خبردار شدند، گفته‌اند که آنها چیزی در مورد خطر مربوط به نشت اطلاعات توکن‌ها نمی‌دانسته‌اند.
این اولین باری نیست که داده‌های حساس در Github پیدا شده‌اند. کمی پس از اینکه جستجوی پیشرفته در سال ۲۰۱۳ ارائه شد، کارشناسان هشدار دادند که این قابلیت، کار را برای برملا کردن رمزهای عبور، کلیدهای رمزگشایی و سایر اطلاعات حساس دیگر در کدهای متن‎باز آسان می‌کند.
یک سال بعد، محققان گزارش داده‌اند که مهاجمان به گواهی‌نامه‌های AWS موجود در Github برای استفاده در استخراج بیت‌کوین دستبرد زده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.