Slack logo
Notizie

Aggiornamento di sicurezza di Slack

Poiché per noi sicurezza, privacy e trasparenza sono estremamente importanti, vogliamo condividere i dettagli di un incidente recente.

Autore: Slack’s Security Team31 dicembre 2022

Aggiornamento: 9 gennaio 2023

Recentemente abbiamo rilevato un problema di sicurezza relativo all’accesso non autorizzato a un sottoinsieme di repository di codice di Slack. Non ci sono state conseguenze per i nostri clienti, non è richiesta alcuna azione e l’incidente è stato risolto rapidamente. Poiché per noi sicurezza, privacy e trasparenza sono estremamente importanti, vogliamo condividere i dettagli dell’incidente.

Cosa è successo

Il 29 dicembre 2022 abbiamo ricevuto una notifica di attività sospette sul nostro account GitHub. Dopo alcune indagini, abbiamo scoperto che un numero limitato di token di dipendenti Slack erano stati rubati e utilizzati in modo improprio per ottenere accesso al nostro repository GitHub ospitato esternamente. Le nostre indagini hanno inoltre rivelato che l’autore dell’attacco aveva scaricato i repository di codice privati il 27 dicembre. Nessun repository scaricato conteneva dati dei clienti, mezzi per accedere ai dati dei clienti o basi di codice primarie di Slack.

La nostra risposta e indagine

Non appena siamo stati informati dell’incidente, abbiamo invalidato immediatamente i token rubati e abbiamo iniziato a indagare sulle potenziali conseguenze per i nostri clienti. I risultati attuali mostrano che l’autore dell’attacco non è riuscito ad accedere ad altre aree dell’ambiente di Slack, incluso l’ambiente di produzione, e neanche ad altre risorse o dati dei clienti di Slack. Non c’è stato alcun impatto sul nostro codice o sui nostri servizi e abbiamo anche ruotato tutte le credenziali rilevanti in via precauzionale.

In base alle informazioni disponibili al momento, l’accesso non autorizzato non è derivato da una vulnerabilità inerente a Slack. Le nostre indagini hanno rivelato che è stato compromesso un fornitore di terze parti. Abbiamo collaborato con il fornitore per la rotazione delle credenziali e stiamo lavorando per garantire la sicurezza dei token per il futuro.

Continueremo a indagare e monitorare eventuali esposizioni future. Abbiamo implementato ulteriori avvisi per monitorare il nostro repository GitHub ospitato esternamente. Stiamo inoltre lavorando con i nostri fornitori e partner per la sicurezza per assicurarci che i token usati per accedere a tutti i repository di Slack siano conservati in modo sicuro e protetto.

Domande frequenti

Cos’è un repository di codice?
Un repository di codice è una libreria di codice software. Oltre al codice, il repository contiene documentazione, note, pagine web e traccia delle modifiche.

Qual è l’impatto per me?
Non c’è stato alcun impatto per i clienti, che non devono intraprendere alcuna azione.

A chi posso rivolgermi in caso di ulteriori domande?
Se hai altre domande, contattaci all’indirizzo feedback@slack.com.

Questo post è stato utile?

0/600

Fantastico!

Grazie mille per il feedback!

Capito!

Grazie per il feedback!

Ops! Si è verificato un problema. Riprova più tardi.

Continua a leggere

Developers

In che modo Donut ha costruito un piano aziendale che si basa su Slack e che promuove la cultura dei team

Ottimizzati dalla portata e dalla distribuzione integrata di Slack, gli strumenti di incontro di Donut consentono agli utenti di connettere in modo entrare in contatto da qualsiasi luogo

Produttività

In che modo Slack aiuta a chiudere le trattative in un panorama economico difficile

Scopri come i nostri rappresentanti di vendita per grandi aziende chiudono le trattative più rapidamente con Slack

Produttività

Il tuo ambiente digitale è appena migliorato, con canvas di Slack

Una superficie che aumenta la produttività dei team dando una marcia in più al valore di Slack e Salesforce Customer 360

Notizie

Difesa in profondità: tre nuove funzioni di sicurezza per proteggere il tuo ambiente digitale

Offrendo maggiore trasparenza, questi miglioramenti consentono ai team di sentirsi protetti mentre affrontano il futuro del lavoro