Logotipo de Slack

Actualización de seguridad de Slack

Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, aquí compartimos los detalles de una incidencia ocurrida recientemente.

Autor: Slack’s Security Team31 de diciembre de 2022

Actualizado el 9 de enero de 2023

Recientemente nos enteramos de la existencia de un problema de seguridad relacionado con el acceso no autorizado a un subconjunto de repositorios de código de Slack. Nuestros clientes no se vieron afectados, no fue necesario emprender ninguna acción y la incidencia se resolvió con rapidez. Dado que nos tomamos muy en serio la seguridad, la privacidad y la transparencia, a continuación compartimos los detalles de la incidencia.

Qué sucedió

El 29 de diciembre de 2022 se nos informó de una actividad sospechosa en nuestra cuenta de GitHub. Tras llevar a cabo una investigación, descubrimos que habíamos sufrido el robo de un número limitado de tokens de empleados de Slack, y que el ladrón usó esos tokens para acceder a nuestro repositorio de GitHub alojado externamente. La investigación también reveló que el autor de la amenaza descargó repositorios de código privados el 27 de diciembre. Ninguno de los repositorios descargados contenía datos de clientes, medios para acceder a los datos de los clientes ni base de código primario de Slack.

Nuestra respuesta y la investigación

Cuando tuvimos conocimiento de la incidencia, invalidamos de inmediato los tokens robados y empezamos a investigar el posible impacto que habría podido tener para nuestros clientes. Nuestros hallazgos hasta ahora muestran que el autor de la amenaza no accedió a ninguna otra área del entorno de Slack, incluido el entorno de producción, y que tampoco accedió a ningún otro recurso ni a los datos de los clientes de Slack. La incidencia no tuvo ninguna repercusión en nuestro código ni en nuestros servicios. Además, modificamos todas las credenciales pertinentes a modo de precaución.

Según la información de que disponemos ahora mismo, el acceso no autorizado no fue el resultado de ninguna vulnerabilidad inherente de Slack. Nuestra investigación demostró que un proveedor externo se vio comprometido. Hemos trabajado con el proveedor en la rotación de credenciales y garantizamos la seguridad de los tokens en el futuro.

Seguiremos investigando y mantendremos una vigilancia estrecha para no volver a exponernos a riesgos en el futuro. Hemos implementado alertas adicionales mejoradas para monitorear nuestro repositorio de GitHub alojado externamente. También estamos trabajando con nuestros proveedores y socios de seguridad para garantizar que los tokens utilizados para acceder a los repositorios de Slack se almacenen de forma segura.

Preguntas frecuentes

¿Qué es un repositorio de código?
Un repositorio de código es una biblioteca de código de software. Además del código en sí, el repositorio contiene documentación, notas y páginas web, además de hacer un seguimiento de los cambios.

¿Cómo me afectó?
Los clientes no se vieron afectados ni deben emprender acción alguna.

¿A quién puedo contactar si tengo más preguntas?
Si tienes alguna pregunta adicional, envíanos un correo electrónico a feedback@slack.com.

¿Ha sido útil esta nota?

0/600

¡Genial!

¡Muchísimas gracias por tus comentarios!

¡Entendido!

Gracias por tus comentarios.

¡Uy! Estamos teniendo dificultades. Por favor, inténtalo de nuevo más tarde.

Seguir leyendo

Desarrolladores

El desarrollo en Slack es ahora mucho más fácil: ya están disponibles las nuevas herramientas para desarrolladores y administradores

Los entornos aislados de autoservicio, las funciones personalizadas para Bolt y la integración mejorada con tu componente de software contribuyen a que el desarrollo para Slack sea más eficaz que nunca.

Desarrolladores

Creación de los bloques de construcción de la automatización

La plataforma de próxima generación ya concluyó la fase beta y está disponible para todos los desarrolladores

Transformación

Slack para la atención al cliente: consejos de expertos de la Comunidad de Slack en NYC

Aprende de expertos en Slack sobre cómo puedes sacar el mayor provecho de la plataforma para brindar atención al cliente.

Colaboración

Los equipos de marketing de Salesforce utilizan la automatización para simplificar procesos y potenciar la productividad

Los flujos de trabajo ayudan a los especialistas en marketing a crear y lanzar campañas más rápido