チャットツール・Slackにおいて、GitHubに保管されていたプライベートなコードリポジトリが何者かによってダウンロードされていたことがわかりました。顧客データは含まれていないとのことで、Slackはただちに盗難に用いられたトークンを無効化するなどの対策を取っています。
Slack security update | Slack
https://slack.com/intl/en-gb/blog/news/slack-security-update
Slack’s private GitHub code repositories stolen over holidays
https://www.bleepingcomputer.com/news/security/slacks-private-github-code-repositories-stolen-over-holidays/
Slackによると、GitHubアカウントで不審な動作が見つかったのは2022年12月29日のこと。調べた結果、従業員のトークンがGitHubリポジトリへのアクセスに勝手に利用されていたことがわかりました。この攻撃者は、2022年12月27日にプライベートコードリポジトリをダウンロードしていたとのこと。
コードリポジトリは、ソフトウェアコードのライブラリで、コードそのもののほかにドキュメントやメモなどを含みますが、ダウンロードされたリポジトリには顧客データは含まれていなかったそうです。
Slackはただちに当該トークンを無効化。攻撃者は本番環境を含むSlack環境にはアクセスしておらず、コードやサービスへの影響はないとのことです。
なお、ニュースサイトのBleeping Computerは、この件を発表したSlackの公式ブログ記事が記事一覧ページには表示されず、また「noindex」タグが挿入されていることから、検索エンジンから隠そうとしているのではないかと指摘していますが、記事作成時点では解消されていました(下記画像の赤枠部分に当該記事へのリンク)。Slackが意図的に表示していなかったのか、反映が遅かっただけなのかは不明です。
News | Slack
https://slack.com/intl/en-gb/blog/news
この記事のタイトルとURLをコピーする
・関連記事
Slackがサービス開始以来初の値上げへ、フリープランは履歴閲覧期間が90日に制限 – GIGAZINE
Slackにリモートワークでも同僚と気軽に雑談ができる「Slackハドルミーティング」など新機能4つが発表される – GIGAZINE
Slackの新機能「コネクト」が非Slackユーザーにまで嫌がらせし放題だと判明して速攻で修正 – GIGAZINE
年初早々発生したSlackの大規模障害は「仕事始め」が原因だった – GIGAZINE
Slackが約2兆8900億円でSalesforceに買収される – GIGAZINE
・関連コンテンツ
