توسعهدهندگان ندانسته اطلاعات حساس خود و سازمانشان را با استفاده از توکنهای دسترسی Slack به Github در معرض دید قرار میدهند.
به گزارش واحد امنیت سایبربان؛Slack که یک ابزار همکاری تیمی مبتنی بر فضای ابر است، به توسعهدهندگان اجازه میدهد تا باتهایی بسازند و برخی از کارهای خود را بهصورت خودکار انجام دهند. برای مثال، باتهایی برای مدیریت پروژه، انجام کارهای خارج از دفتر، باتهای بازی و حتی باتهایی برای یادآوری ورزش کردن نیز وجود دارند.
در بسیاری از موارد، این باتها بهعنوان پروژههای تفریح و سرگرمی ایجاد میشوند و توسعهدهندگان متوجه نمیشوند که این کدها شامل توکن احراز هویت برای حسابهای Slack هستند. با به اشتراک گذاشتن پروژههای خود در Github، توسعهدهندگان به دیگران اجازه میدهند تا این توکنها را رونوشت کرده و از آنها برای دسترسی به فایلها و گفتگوها استفاده کنند.
یک جستجو در Github که بهوسیله شرکت امنیتی Detectify انجامشده است، ۱۵۰۰ توکن را یافته که میتوان از آنها بهصورت بالقوه برای دسترسی به دادههای حساس استفاده کرد که این دادههای حساس شامل توکنهای خصوصی xoxp و توکنهای باتهای سفارشی xoxb است.
دریکی از پستهای وبلاگ این شرکت آمده است: «این توکنها متعلق به کاربران مختلف و شرکتهای متعددی هستند؛ در میان آنها میتوان شرکتهایی در زمره ۵۰۰ شرکت برتر فوربز Forbes، ارائهدهندگان خدمات پرداخت، خدمات دهندگان متعدد اینترنتی و ارائهدهندگان خدمات پزشکی را مشاهده کرد. همچین سازمانهای تبلیغاتی مشهور که میخواهند نشان دهند در داخل چهکاری انجام میدهند، کلاسهای دانشگاهی که برخی از آنها بهترین آموزشگاههای جهان هستند. روزنامههایی که باتهای خود را بهعنوان بخشی از فعالیت خود منتشر میکنند نیز در زمره آنها هستند و این فهرست میتواند فهرستی طولانی باشد».
بر اساس گفتههای محققان، توکنهایی که آنها در Github پیداکردهاند دسترسی به اعتبارنامههای پایگاههای داده، ورود به سرویسهای داخلی و پیامهای خصوصی را میسر میسازند.
کارشناسان هشدار میدهند: «با استفاده از این توکنها، ممکن است بتوان فعالیتهای یک شرکت را شنود کرد. افرادی از خارج میتوانند بهسادگی به مکالمات داخلی شرکت دسترسی داشته باشند، فایلها و پیامهای مستقیم و حتی رمزهای عبور را -درصورتیکه بر روی Slack به اشتراک گذاشتهشده باشند- ببینند».
پسازاینکه در اواخر ماه مارس Detectify به آنها اعلام کرد، Slack توکنهای به خطر افتاده را باطل کرد و به تیمها و کاربرانی که در معرض خطر بودند اطلاع داد. این شرکت میگوید که به دنبال توکنهایی است که در معرض عموم قرارگرفتهاند و به همه مشتریانی که درخطر قرار دارند اطلاع خواهد داد.
محققان اشارهکردهاند که ایجاد یک توکن که بتواند دسترسی کامل را مهیا کند، بسیار آسان است، اما آنچه دشوار است ساخت توکنی است که بتوان آن را محدود کرد. هنگامیکه توکنهای خصوصی ایجاد میشوند، Slack به کاربران اطلاع میدهد که آنها باید توکن خود بهعنوان یک رمز عبور تلقی کنند. بااینحال، بسیاری از کاربرانی که توسط Detectify خبردار شدند، گفتهاند که آنها چیزی در مورد خطر مربوط به نشت اطلاعات توکنها نمیدانستهاند.
این اولین باری نیست که دادههای حساس در Github پیداشدهاند. کمی پسازاینکه جستجوی پیشرفته در سال ۲۰۱۳ ارائه شد، کارشناسان هشدار دادند که این قابلیت، کار را برای برملا کردن رمزهای عبور، کلیدهای رمزگشایی و سایر اطلاعات حساس دیگر در کدهای متنباز آسان میکند.
یک سال بعد، محققان گزارش دادهاند که مهاجمان به گواهینامههای AWS موجود در Github برای استفاده در استخراج بیتکوین دستبرد زدهاند.
ثبت نظر