Logotipo de Slack

Actualización de seguridad de Slack

Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, a continuación compartimos los detalles de una incidencia reciente.

Autor: Slack’s Security Team31 de diciembre de 2022

Actualizado el 9 de enero de 2023

Recientemente hemos tenido conocimiento de un problema de seguridad relacionado con el acceso no autorizado a un subconjunto de repositorios de código de Slack. Nuestros clientes no se han visto afectados, no es necesario tomar medidas y la incidencia se ha resuelto rápidamente. Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, a continuación compartimos los detalles de la incidencia.

Qué pasó

El 29 de diciembre de 2022, se nos notificó una actividad sospechosa en nuestra cuenta de GitHub. Tras la investigación, descubrimos que se robaron un número limitado de tokens de empleados de Slack y se utilizaron de manera indebida para obtener acceso a nuestro repositorio GitHub alojado externamente. Nuestra investigación también reveló que el actor de la amenaza descargó repositorios de código privado el 27 de diciembre. Ningún repositorio descargado contenía datos de clientes, medios para acceder a datos de clientes o la base de código principal de Slack.

Nuestra respuesta e investigación

Cuando se nos notificó la incidencia, invalidamos inmediatamente los tokens robados y empezamos a investigar las posibles repercusiones para nuestros clientes. Nuestros actuales hallazgos muestran que el actor de la amenaza no accedió a otras áreas del entorno de Slack, incluido el entorno de producción, y tampoco accedió a otros recursos de Slack ni a datos de clientes. No hubo ningún impacto en nuestro código o servicios, y también hemos rotado todas las credenciales relevantes como medida de precaución.

Según la información de la que disponemos actualmente, el acceso no autorizado no se debió a una vulnerabilidad inherente a Slack. Nuestra investigación muestra que se comprometió un proveedor externo. Hemos trabajado con ese proveedor en la rotación de credenciales y garantizamos la seguridad de los tokens de ahora en adelante

Seguiremos investigando y vigilando para detectar nuevas exposiciones. Hemos implementado nuevas alertas para supervisar nuestro repositorio externo de GitHub. Además, estamos trabajando junto con nuestros proveedores y socios de seguridad para garantizar que los tokens que se utilizan para acceder a los repositorios de Slack permanezcan almacenados de manera segura.

Preguntas frecuentes

¿Qué es un repositorio de código?
Un repositorio de código es una biblioteca de código de software. Además del propio código, el repositorio contiene documentación, notas, páginas web y realiza un seguimiento de los cambios.

¿De qué manera me ha afectado esto?
No ha habido impacto en los clientes y no es necesario que estos tomen medidas.

¿A quién puedo contactar si tengo más preguntas?
Si tienes más preguntas, ponte en contacto con nosotros en feedback@slack.com.

¿Te ha resultado útil esta publicación?

0/600

¡Genial!

¡Muchísimas gracias por tus comentarios!

Entendido

Gracias por tus comentarios.

Vaya. Estamos teniendo dificultades. ¡Inténtalo de nuevo más tarde!

Seguir leyendo

Productividad

Las 10 mejores aplicaciones para el trabajo

Slack, Trello, Canva o ChatGPT son algunas de las mejores aplicaciones para el trabajo. Descubre las 10 más útiles en este artículo.

Desarrolladores

Nunca antes ha sido tan fácil desarrollar en Slack: nuevas herramientas para desarrolladores y administradores a partir de hoy

Los entornos de autoservicio, las funciones personalizadas para Bolt y la mejora de la integración con tu pila de software hacen que desarrollar para Slack sea más fácil que nunca

Desarrolladores

Crear los componentes de la automatización

La plataforma de nueva generación ya está disponible para todos los desarrolladores

Colaboración

Slack: eficiencia y seguridad en el intercambio de archivos

Una de las principales preocupaciones de las empresas es la seguridad y la confidencialidad de la información en el intercambio de archivos.