企业协作平台Slack宣布遭受安全漏洞,威胁行为者窃取了其一些私有源代码存储库。该公司指出,其客户没有受到影响。“我们最近意识到一个安全问题,涉及未经授权访问 Slack 代码存储库的子集。”“2022 年 12 月 29 日,我们收到了 GitHub 帐户可疑活动的通知。经过调查,我们发现有限数量的 Slack 员工令牌被盗并被滥用,以访问我们外部托管的 GitHub 存储库。我们的调查还显示,威胁行为者在 12 月 27 日下载了私有代码存储库。
Slack 于 12 月 29 日获悉了可疑活动,并对事件展开了调查。调查显示,攻击者窃取了有限数量的员工令牌,并使用它们来访问我们外部托管的GitHub存储库。该公司于 12 月 27 日下载了私有代码存储库。
Slack指出,访问的存储库不包含主要代码库。为了应对这一事件,该公司立即宣布被盗代币无效,并开始调查对其客户的潜在影响。“我们目前的调查结果显示,威胁行为者没有访问Slack环境的其他区域,包括生产环境,也没有访问其他Slack资源或客户数据。我们的代码或服务没有受到影响,作为预防措施,我们还轮换了所有相关凭据,“更新继续说道。
Slack补充说,威胁行为者没有利用其系统中的任何漏洞来实现未经授权的访问。调查仍在进行中。
原文始发于微信公众号(黑猫安全):黑客窃取了 Slack 私有源代码存储库
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论