Logotipo de Slack
Novedades

Actualización de seguridad de Slack

Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, a continuación compartimos los detalles de una incidencia reciente.

Autor: Slack’s Security Team31 de diciembre de 2022

Actualizado el 9 de enero de 2023

Recientemente hemos tenido conocimiento de un problema de seguridad relacionado con el acceso no autorizado a un subconjunto de repositorios de código de Slack. Nuestros clientes no se han visto afectados, no es necesario tomar medidas y la incidencia se ha resuelto rápidamente. Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, a continuación compartimos los detalles de la incidencia.

Qué pasó

El 29 de diciembre de 2022, se nos notificó una actividad sospechosa en nuestra cuenta de GitHub. Tras la investigación, descubrimos que se robaron un número limitado de tokens de empleados de Slack y se utilizaron de manera indebida para obtener acceso a nuestro repositorio GitHub alojado externamente. Nuestra investigación también reveló que el actor de la amenaza descargó repositorios de código privado el 27 de diciembre. Ningún repositorio descargado contenía datos de clientes, medios para acceder a datos de clientes o la base de código principal de Slack.

Nuestra respuesta e investigación

Cuando se nos notificó la incidencia, invalidamos inmediatamente los tokens robados y empezamos a investigar las posibles repercusiones para nuestros clientes. Nuestros actuales hallazgos muestran que el actor de la amenaza no accedió a otras áreas del entorno de Slack, incluido el entorno de producción, y tampoco accedió a otros recursos de Slack ni a datos de clientes. No hubo ningún impacto en nuestro código o servicios, y también hemos rotado todas las credenciales relevantes como medida de precaución.

Según la información de la que disponemos actualmente, el acceso no autorizado no se debió a una vulnerabilidad inherente a Slack. Nuestra investigación muestra que se comprometió un proveedor externo. Hemos trabajado con ese proveedor en la rotación de credenciales y garantizamos la seguridad de los tokens de ahora en adelante

Seguiremos investigando y vigilando para detectar nuevas exposiciones. Hemos implementado nuevas alertas para supervisar nuestro repositorio externo de GitHub. Además, estamos trabajando junto con nuestros proveedores y socios de seguridad para garantizar que los tokens que se utilizan para acceder a los repositorios de Slack permanezcan almacenados de manera segura.

Preguntas frecuentes

¿Qué es un repositorio de código?
Un repositorio de código es una biblioteca de código de software. Además del propio código, el repositorio contiene documentación, notas, páginas web y realiza un seguimiento de los cambios.

¿De qué manera me ha afectado esto?
No ha habido impacto en los clientes y no es necesario que estos tomen medidas.

¿A quién puedo contactar si tengo más preguntas?
Si tienes más preguntas, ponte en contacto con nosotros en feedback@slack.com.

¿Te ha resultado útil esta publicación?

0/600

¡Genial!

¡Muchísimas gracias por tus comentarios!

Entendido

Gracias por tus comentarios.

Vaya. Estamos teniendo dificultades. ¡Inténtalo de nuevo más tarde!

Seguir leyendo

Desarrolladores

Cómo Donut desarrolló una solución basada en Slack que mejora el espíritu de equipo

Gracias al alcance y la distribución de Slack, las herramientas de Donut para socializar permiten a los usuarios conectarse desde cualquier lugar fácilmente

Productividad

Cómo Slack ayuda a cerrar acuerdos en tiempos difíciles

Descubre cómo nuestros representantes de ventas empresariales cierran acuerdos más rápido gracias a Slack

Productividad

Tu sede digital acaba de mejorar con Slack canvas

Presentamos una superficie que impulsa la productividad de los equipos al potenciar el valor de Slack y Salesforce Customer 360

Novedades

Defensa en profundidad: Tres nuevas funciones de seguridad para proteger tu sede digital

Al ofrecer aún más transparencia, estas mejoras permiten que los equipos se sientan seguros al adoptar el futuro del trabajo