انتشار شده در تاریخ 1395/02/14 - 18:08

فاش شدن توکن امنیتی Slack در Github

به گزارش واحد امنیت سایبربان؛Slack که یک ابزار همکاری تیمی مبتنی بر فضای ابر است، به توسعه‌دهندگان اجازه می‌دهد تا بات‌هایی بسازند و برخی از کارهای خود را به‌صورت خودکار انجام دهند. برای مثال، بات‌هایی برای مدیریت پروژه، انجام کارهای خارج از دفتر، بات‌های بازی و حتی بات‌هایی برای یادآوری ورزش کردن نیز وجود دارند.

در بسیاری از موارد، این بات‌ها به‌عنوان پروژه‌های تفریح و سرگرمی ایجاد می‌شوند و توسعه‌دهندگان متوجه نمی‌شوند که این کدها شامل توکن احراز هویت برای حساب‌های Slack هستند. با به اشتراک گذاشتن پروژه‌های خود در Github، توسعه‌دهندگان به دیگران اجازه می‌دهند تا این توکن‌ها را رونوشت کرده و از آن‌ها برای دسترسی به فایل‌ها و گفتگوها استفاده کنند.

یک جستجو در Github که به‌وسیله شرکت امنیتی Detectify انجام‌شده است، ۱۵۰۰ توکن را یافته که می‌توان از آن‎ها به‌صورت بالقوه برای دسترسی به داده‌های حساس استفاده کرد که این داده‌های حساس شامل توکن‌های خصوصی xoxp و توکن‌های بات‌های سفارشی xoxb است.

دریکی از پست‌های وبلاگ این شرکت آمده است: «این توکن‌ها متعلق به کاربران مختلف و شرکت‌های متعددی هستند؛ در میان آن‌ها می‌توان شرکت‌هایی در زمره ۵۰۰ شرکت برتر فوربز Forbes، ارائه‌دهندگان خدمات پرداخت، خدمات دهندگان متعدد اینترنتی و ارائه‌دهندگان خدمات پزشکی را مشاهده کرد. همچین سازمان‌های تبلیغاتی مشهور که می‌خواهند نشان دهند در داخل چه‌کاری انجام می‌دهند، کلاس‌های دانشگاهی که برخی از آن‎ها بهترین آموزشگاه‌های جهان هستند. روزنامه‌هایی که بات‌های خود را به‌عنوان بخشی از فعالیت خود منتشر می‌کنند نیز در زمره آن‎ها هستند و این فهرست می‌تواند فهرستی طولانی باشد».

بر اساس گفته‌های محققان،‌ توکن‌هایی که آن‎ها در Github پیداکرده‌اند دسترسی به اعتبارنامه‌های پایگاه‌های‌ داده، ورود به سرویس‌های داخلی و پیام‌های خصوصی را میسر می‌سازند.

کارشناسان هشدار می‌دهند: «با استفاده از این توکن‌ها، ممکن است بتوان فعالیت‌های یک شرکت را شنود کرد. افرادی از خارج می‌توانند به‌سادگی به مکالمات داخلی شرکت دسترسی داشته باشند، فایل‌ها و پیام‌های مستقیم و حتی رمزهای عبور را -درصورتی‌که بر روی Slack به اشتراک گذاشته‌شده باشند- ببینند».

پس‌ازاینکه در اواخر ماه مارس Detectify به آن‌ها اعلام کرد، Slack توکن‌های به خطر افتاده را باطل کرد و به تیم‌ها و کاربرانی که در معرض خطر بودند اطلاع داد. این شرکت می‌گوید که به دنبال توکن‌هایی است که در معرض عموم قرارگرفته‌اند و به همه مشتریانی که درخطر قرار دارند اطلاع خواهد داد.

محققان اشاره‌کرده‌اند که ایجاد یک توکن که بتواند دسترسی کامل را مهیا کند، بسیار آسان است، اما آنچه دشوار است ساخت توکنی است که بتوان آن را محدود کرد. هنگامی‌که توکن‌های خصوصی ایجاد می‌شوند، Slack به کاربران اطلاع می‌دهد که آن‎ها باید توکن خود به‌عنوان یک رمز عبور تلقی کنند. بااین‌حال،‌ بسیاری از کاربرانی که توسط Detectify خبردار شدند، گفته‌اند که آن‌ها چیزی در مورد خطر مربوط به نشت اطلاعات توکن‌ها نمی‌دانسته‌اند.

این اولین باری نیست که داده‌های حساس در Github پیداشده‌اند. کمی پس‌ازاینکه جستجوی پیشرفته در سال ۲۰۱۳ ارائه شد، کارشناسان هشدار دادند که این قابلیت، کار را برای برملا کردن رمزهای عبور، کلیدهای رمزگشایی و سایر اطلاعات حساس دیگر در کدهای متن‎باز آسان می‌کند.

یک سال بعد، محققان گزارش داده‌اند که مهاجمان به گواهی‌نامه‌های AWS موجود در Github برای استفاده در استخراج بیت‌کوین دستبرد زده‌اند.