Mise à jour le 9 janvier 2023
Nous avons récemment identifié un problème de sécurité impliquant un accès non autorisé à un sous-ensemble de référentiels de code Slack. Notre clientèle n’en a pas été affectée, aucune action n’est requise, et l’incident a été rapidement résolu. Nous prenons très au sérieux la sécurité, la confidentialité et la transparence de nos produits et services. C’est pourquoi nous partageons les détails de l’incident ci-dessous.
Que s’est-il passé ?
Le 29 décembre 2022, nous avons été informés d’une activité suspecte sur notre compte GitHub. Après enquête, nous avons découvert qu’un petit nombre de jetons de membres du personnel de Slack avaient été dérobés et utilisés à mauvais escient pour accéder à notre référentiel GitHub hébergé en externe. Notre enquête a également révélé que le pirate informatique avait téléchargé des référentiels de code privés le 27 décembre. Aucun référentiel téléchargé ne contenait de données clients, de moyens d’accéder aux données clients, ou le code base principal de Slack.
Notre réaction et notre enquête
Lorsque nous avons été informés de l’incident, nous avons immédiatement invalidé les jetons dérobés et commencé à enquêter sur son potentiel impact sur notre clientèle. D’après nos conclusions actuelles, le pirate informatique n’a accédé à aucune autre zone de l’environnement Slack, y compris l’environnement de production, ni à aucune autre ressource Slack ou aux données clients. Cette intrusion n’a eu aucun impact sur notre code ou nos services, et nous avons également modifié l’ensemble des identifiants pertinents par précaution.
Selon les informations actuellement disponibles, l’accès non autorisé ne résulte pas d’une vulnérabilité inhérente à Slack. Notre enquête a révélé qu’un fournisseur tiers a été compromis. Nous travaillons en collaboration avec le fournisseur pour assurer la rotation des identifiants et nous veillons désormais à la sécurité des jetons.
Nous poursuivons notre enquête et notre surveillance afin de détecter tout risque éventuel. Nous avons mis en place un système d’alerte supplémentaire et renforcé pour surveiller notre référentiel GitHub hébergé en externe. Nous travaillons également avec nos fournisseurs et nos partenaires en matière de sécurité afin de garantir que les jetons utilisés pour accéder à tout référentiel de Slack sont stockés en toute sécurité.
Q&R
Qu’est-ce qu’un référentiel de code ?
Un référentiel de code est une bibliothèque de code logiciel. Outre le code lui-même, le référentiel contient de la documentation, des notes, des pages web et le suivi des modifications apportées.
Dans quelle mesure cela me concerne-t-il ?
Cet incident n’a eu aucun impact sur notre clientèle, qui n’a aucune action à effectuer.
À qui puis-je m’adresser pour poser d’autres questions ?
Si vous avez des questions supplémentaires, veuillez nous contacter à l’adresse feedback@slack.com
Parfait !
Merci beaucoup pour votre feedback !
Bien compris !
Merci pour vos commentaires.
Oups ! Nous rencontrons quelques difficultés. Veuillez réessayer plus tard.