Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/slacks-private-github-code-repositories-stolen-over-holidays/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #repositórios #de #código #github #privados #do #slack #roubados #durante #as #férias
O Slack sofreu um incidente de segurança durante as férias que afetou alguns de seus repositórios de código privados do GitHub.
O imensamente popular aplicativo de mensagens instantâneas de propriedade da Salesforce é usado por cerca de 18 milhões de usuários em locais de trabalho e comunidades digitais em todo o mundo.
Os dados do cliente não são afetados
A BleepingComputer encontrou um aviso de incidente de segurança emitido pelo Slack em 31 de dezembro de 2022.
O incidente envolve invasores que obtêm acesso aos repositórios GitHub hospedados externamente do Slack por meio de um número "limitado" de tokens de funcionários do Slack que foram roubados.
Embora alguns dos repositórios de código privado do Slack tenham sido violados, a base de código principal do Slack e os dados do cliente permanecem inalterados, de acordo com a empresa.
A redação do aviso [1, 2] publicado na véspera de Ano Novo é a seguinte:
"Em 29 de dezembro de 2022, fomos notificados sobre atividades suspeitas em nossa conta do GitHub. Após investigação, descobrimos que um número limitado de tokens de funcionários do Slack foi roubado e mal utilizado para obter acesso ao nosso repositório GitHub hospedado externamente. Nossa investigação também revelou que o agente da ameaça baixou repositórios de código privados em 27 de dezembro. Nenhum repositório baixado continha dados do cliente, meios para acessar dados do cliente ou base de código principal do Slack."
Desde então, o Slack invalidou os tokens roubados e diz que está investigando o "impacto potencial" para os clientes.
No momento, não há indicação de que áreas sensíveis do ambiente do Slack, incluindo a produção, foram acessadas. Por cautela, no entanto, a empresa alterou os segredos relevantes.
"Com base nas informações atualmente disponíveis, o acesso não autorizado não resultou de uma vulnerabilidade inerente ao Slack. Continuaremos investigando e monitorando futuras exposições", afirma a equipe de segurança do Slack.
Atualização de segurança oculta dos mecanismos de pesquisa
Ironicamente, a atualização de segurança fala que o Slack leva sua "segurança, privacidade e transparência muito a sério" e ainda vem com algumas ressalvas estranhas.
Para começar, esse item de "notícia" não aparece no blog de notícias da empresa entre outros artigos, no momento da redação.
Além disso, ao contrário das postagens anteriores do blog do Slack, esta atualização é marcada com 'noindex', um recurso HTML usado para excluir propositalmente uma página da Web dos resultados do mecanismo de pesquisa, dificultando, senão impossibilitando, a descoberta da página.
Atualização de segurança do Slack com uma tag SEO 'noindex' (BleepingComputer)
A BleepingComputer observou ainda que a tag "meta" contendo o atributo "noindex" foi colocada na parte inferior do código HTML da página, em uma linha alongada que transborda sem quebrar. Isso significa que aqueles que visualizam o código-fonte (como nós) não conseguiriam ver prontamente a tag oculta, a menos que pesquisassem ativamente (Ctrl+F) o código-fonte para ela. Por convenção, o cabeçalho HTML e as metatags são normalmente colocados no topo de uma página.
A linha alongada 149 contendo a tag 'noindex' não quebra (BleepingComputer)
Outras técnicas empregadas por empresas que procuram limitar a visibilidade de notícias estranhas podem incluir o uso de geo-fencing e a adaptação do arquivo robots.txt . Tais técnicas, incluindo o uso de 'noindex' em anúncios importantes, são, no entanto, tipicamente desaprovadas.
No ano passado, o repórter e editor de infosec Zack Whittaker criticou o LastPass e o GoTo por empregar táticas semelhantes com a divulgação da violação de segurança do LastPass em 2022.
Infelizmente, a mudança não parece ter funcionado para o Slack, já que o Google indexou o aviso de qualquer maneira:
Resultados de pesquisa do Google para 'Atualização de segurança do Slack' (BleepingComputer)
A BleepingComputer notou que a tag 'noindex' parece ter sido adicionada retroativamente e bastante tarde, depois que o Google já havia armazenado em cache o aviso original sem um. Portanto, pode demorar um pouco até que o índice do Google limpe o aviso já obtido de seu cache.
Em agosto de 2022, o Slack redefiniu as senhas dos usuários depois de expor acidentalmente seus hashes de senha em um incidente separado. Sem surpresa, esse aviso específico também é marcado com um 'noindex'.
Em 2019, o Slack anunciou que redefiniu as senhas de cerca de 1% dos usuários afetados pela violação de dados de 2015 que além disso atenderam a um conjunto de critérios.
A boa notícia, com relação à atualização de segurança mais recente, é que nenhuma ação precisa ser tomada pelos clientes, por enquanto.
Postar um comentário