转载

小心！别在Github上泄露了你Slack的token

　　大量的开发者们把他们的 Slack 登录凭证上传到了 Github 和其他公开网站上，任何人都可以偷偷监控他们的对话，或者下载通过 Slack 传输的数据。

　　Slack 是一个基于云的团队沟通协作平台。它是聊天群组 + 大规模工具集成 + 文件整合 + 统一搜索。截至 2014 年底，Slack 已经整合了电子邮件、短信、Google Drive、Twitter、Trello、Asana、GitHub 等 65 种工具和服务，把可以把各种碎片化的企业沟通和协作集中到一起。

　　2015 年 2 月 Slack 企业聊天工具成立一周年且日活跃用户达到 50 万人，2015 年前 6 周的增幅就高达 35%（至少增加 13 万人），用户发送的聊天信息达到 17 亿条。

　　根据周四的一篇博文，Detectify 公司的研究人员最近估计，大约 1500 个 token 被公布在了网上，有些甚至是属于财富 500 强的公司，支付提供商、ISP、医保提供商。研究人员私下把他们的发现汇报给了 Slack，Slack 称，它会经常监控，检查是否有敏感的 token 泄漏。

　　Github 泄露大量 Slack token

　　在 Github 搜索“xoxp”，返回了超过 7400 个结果，这个”xoxp”是让自动化脚本访问 Slack 账号时会用到的 token 的前缀，即使开启了二步验证也会有这个前缀。另一个搜索则找到了超过 4100 个前缀是”xoxb”的 Slack token。不是所有的搜索结果都有用于登录帐号所要用到的所有 token，但是很多结果有。开发者们无意中把 tokens 包含在代码中然后公布在互联网上，这样任何人都可以偷偷监控开发者与公司之间的对话，或者下载通过 Slack 传输的数据。

“最糟糕的情况是，这些 token 可以泄露产品数据库密码、源代码或者是加密的文件和敏感信息，”博文中写道，“Detectify 仅仅通过在 Github 上搜索已经找到大量的 token，并且新上传的 token 每天都在增加。”

　　脚本可以使得关联的账户自动执行各种各样的任务，比如对定期会议进行提醒、或者将联系人信息提供给其他用户。很多开发者会把这些所谓的机器人脚本发布在 Github 或其他公开的代码仓库上。

小心！别在Github上泄露了你Slack的token

　　实际上，这种把敏感登录信息发布在 Github 上的事情一点也不新鲜，在之前 50000 名 Uber 司机数据泄露的事件中，正是一名开发者不小心把数据库密钥放在了两个 Github 页面上。漏洞盒子也专门发布过调查报告，对国内企业在 Github 上的信息泄露进行了调查，结果万达、步步高等知名企业也中了枪。

　　Slack 官方声明

　　在声明中，Slack 写到：

Slack 很清楚，token 应该被跟密码一样对待。当开发者们生成 token 时，我们会警告他们不要分享给其他用户或其他程序。我们客户的安全对我们至关重要，我们会持续改进我们的文档，提醒客户保证安全。

我们在监控着公开的 token，一旦我们发现了公开的 token，我们会撤销他们并且通知创建 token 的用户和受影响的团队。

　　如何防范

　　Slack 监控公开 token 的做法值得肯定，但是 token 上传的速度太快了，可能手速快的黑客可以在撤销之前找到它们。把 Slack 脚本/机器人上传到 Github 不应该把 token 一起上传上去，而是应该使用环境变量使 token 不出现在代码里面。

　　参考来源：Ars、新浪科技，FB 小编 Sphinx 编译，文章有修改，转载请注明来自 Freebuf 黑客与极客

正文到此结束