GitHub库中被遗落的Slack API凭证可导致企业被黑

Detectify实验室指出，粗心的开发人员忘记从上传至GitHub中的Slack机器人中删除敏感的API访问口令，可导致企业遭入侵。

安全专家声称在扫描GitHub项目时发现了超过1500个Slack访问口令。其中多数口令存在于Slack 机器人中，即允许开发人员在Slack信道中自动化多种操作的小型app。

Slack是当前最成功的硅谷公司之一，它能够让用户按需创建私人或公共聊天室用于个人或商业目的。Slack聊天室已成为许多公司的标配沟通方式，它是XMPP聊天客户端的有力竞争者。

安全研究人员指出，企业可能因开发人员将敏感凭证遗留在开源代码的坏习惯而遭殃。这些API访问空灵能让机器人访问企业的Slack信道以及内部资源，同时还能让攻击者也拥有这些访问权限。攻击者能够使用来自GitHub上的API访问口令下载一个Slack信道的聊天记录并且查找敏感信息如FTP凭证、内部URL或者其它类型的密码。

研究人员表示所发现的这些访问口令属于财富500强公司、支付提供商、多种互联网服务提供商以及医疗保健提供商。

Slack的官方文档指出，这些访问权限将允许攻击者访问API窃取用户数据、Slack信道会话及文件、团体信息、个人信息，并且将Slack的搜索功能自动化。

研究人员将此事告知了Slack公司，该公司将所有的1500个API访问口令都予以撤销同时通知了相关用户。