Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Hơn 1.500 token truy cập Slack của doanh nghiệp bị “quên” không xóa trên GitHub
Các chuyên gia vừa phát hiện hơn 1.500 token truy cập tài khoản Slack của hàng trăm doanh nghiệp ở dạng công khai trên GitHub, gây nguy cơ lộ lọt các đoạn chat nội bộ và các dữ liệu nhạy cảm khác.
Slack là một trong những ứng dụng trao đổi, chat nhóm phổ biến nhất được các công ty sử dụng hiện nay. Giao diện lập trình ứng dụng (API) của Slack cho phép người dùng phát triển các bot (chương trình tự động) có thể nhận lệnh hoặc đăng nội dung từ các dịch vụ bên ngoài trực tiếp trên kênh Slack, giúp đơn giản hóa việc thực hiện tự động nhiều nhiệm vụ.
Nhiều nhà phát triển đã đăng đoạn code cho bot Slack của mình lên GitHub, nhưng lại không bỏ token truy cập của các bot này. Một số nhà phát triển thậm chí còn để cả các token private cùng tài khoản của họ trong đoạn code.
Những token bị “bỏ quên” có thể cho phép cá nhân truy cập vào các cuộc hội thoại, các tập tin, tin nhắn riêng tư và các dữ liệu nhạy cảm khác được chia sẻ trong các nhóm Slack, nơi mà những nhà phát triển hoặc các bot là thành viên.
Các chuyên gia của Dectectify đã phát hiện hơn 1.500 token Slack trên GitHub, một số trong đó cho phép truy cập vào các nhóm của nhà cung cấp dịch vụ thanh toán, dịch vụ Internet, trường học, hãng quảng cáo, báo chí và nhà cung cấp dịch vụ chăm sóc sức khỏe.
Bằng việc sử dụng những token này, các chuyên gia đã chiếm quyền truy cập vào nhóm Slack và phát hiện các dữ liệu như: tin nhắn riêng tư nhạy cảm, các tập tin chứa mật khẩu, và thông tin đăng nhập vào các nền tảng tích hợp và dịch vụ nội bộ.
“Từ những cuộc trao đổi trong nhóm trên Slack, chúng tôi cho rằng mọi người có vẻ khá “cẩu thả” trong việc gửi các thông tin quan trọng nói chung”, chuyên gia Dectectify cho biết.
Đây không phải lần đầu tiên các token truy cập nhạy cảm bị để lộ trong các dự án trên GitHub. Vào năm 2014, một nhà nghiên cứu đã phát hiện gần 10.000 key truy cập vào các dịch vụ của Amazon Web Service và Elastic Compute Cloud bị các nhà phát triển để trong code ở dạng công khai trên GitHub.
Các chuyên gia khác cũng từng phát hiện dữ liệu back-end và các dịch vụ được hard-code trên hàng nghìn ứng dụng di động có thể bị mở và đọc dễ dàng.
Các chuyên gia khuyến cáo: “Đừng bao giờ commit các thông tin quan trọng trong code. Điều đầu tiên bạn nên làm đó là tạo môi trường biến bên trong một tập tin và bỏ qua tập tin trong kho lưu trữ mã ngay từ đầu".
Slack cho phép người tạo nhóm hạn chế việc tạo ứng dụng và tích hợp tùy chỉnh chỉ đối với một số thành viên, thay vì tất cả.
Slack là một trong những ứng dụng trao đổi, chat nhóm phổ biến nhất được các công ty sử dụng hiện nay. Giao diện lập trình ứng dụng (API) của Slack cho phép người dùng phát triển các bot (chương trình tự động) có thể nhận lệnh hoặc đăng nội dung từ các dịch vụ bên ngoài trực tiếp trên kênh Slack, giúp đơn giản hóa việc thực hiện tự động nhiều nhiệm vụ.
Nhiều nhà phát triển đã đăng đoạn code cho bot Slack của mình lên GitHub, nhưng lại không bỏ token truy cập của các bot này. Một số nhà phát triển thậm chí còn để cả các token private cùng tài khoản của họ trong đoạn code.
Những token bị “bỏ quên” có thể cho phép cá nhân truy cập vào các cuộc hội thoại, các tập tin, tin nhắn riêng tư và các dữ liệu nhạy cảm khác được chia sẻ trong các nhóm Slack, nơi mà những nhà phát triển hoặc các bot là thành viên.
Các chuyên gia của Dectectify đã phát hiện hơn 1.500 token Slack trên GitHub, một số trong đó cho phép truy cập vào các nhóm của nhà cung cấp dịch vụ thanh toán, dịch vụ Internet, trường học, hãng quảng cáo, báo chí và nhà cung cấp dịch vụ chăm sóc sức khỏe.
Bằng việc sử dụng những token này, các chuyên gia đã chiếm quyền truy cập vào nhóm Slack và phát hiện các dữ liệu như: tin nhắn riêng tư nhạy cảm, các tập tin chứa mật khẩu, và thông tin đăng nhập vào các nền tảng tích hợp và dịch vụ nội bộ.
“Từ những cuộc trao đổi trong nhóm trên Slack, chúng tôi cho rằng mọi người có vẻ khá “cẩu thả” trong việc gửi các thông tin quan trọng nói chung”, chuyên gia Dectectify cho biết.
Đây không phải lần đầu tiên các token truy cập nhạy cảm bị để lộ trong các dự án trên GitHub. Vào năm 2014, một nhà nghiên cứu đã phát hiện gần 10.000 key truy cập vào các dịch vụ của Amazon Web Service và Elastic Compute Cloud bị các nhà phát triển để trong code ở dạng công khai trên GitHub.
Các chuyên gia khác cũng từng phát hiện dữ liệu back-end và các dịch vụ được hard-code trên hàng nghìn ứng dụng di động có thể bị mở và đọc dễ dàng.
Các chuyên gia khuyến cáo: “Đừng bao giờ commit các thông tin quan trọng trong code. Điều đầu tiên bạn nên làm đó là tạo môi trường biến bên trong một tập tin và bỏ qua tập tin trong kho lưu trữ mã ngay từ đầu".
Slack cho phép người tạo nhóm hạn chế việc tạo ứng dụng và tích hợp tùy chỉnh chỉ đối với một số thành viên, thay vì tất cả.
Nguồn: ComputerWorld