Slack logo
Notizie

Aggiornamento di sicurezza di Slack

Poiché per noi sicurezza, privacy e trasparenza sono estremamente importanti, vogliamo condividere i dettagli di un incidente recente.

Autore: Slack’s Security Team31 dicembre 2022

2 min. di lettura

Aggiornamento: 9 gennaio 2023

Recentemente abbiamo rilevato un problema di sicurezza relativo all’accesso non autorizzato a un sottoinsieme di repository di codice di Slack. Non ci sono state conseguenze per i nostri clienti, non è richiesta alcuna azione e l’incidente è stato risolto rapidamente. Poiché per noi sicurezza, privacy e trasparenza sono estremamente importanti, vogliamo condividere i dettagli dell’incidente.

Cosa è successo

Il 29 dicembre 2022 abbiamo ricevuto una notifica di attività sospette sul nostro account GitHub. Dopo alcune indagini, abbiamo scoperto che un numero limitato di token di dipendenti Slack erano stati rubati e utilizzati in modo improprio per ottenere accesso al nostro repository GitHub ospitato esternamente. Le nostre indagini hanno inoltre rivelato che l’autore dell’attacco aveva scaricato i repository di codice privati il 27 dicembre. Nessun repository scaricato conteneva dati dei clienti, mezzi per accedere ai dati dei clienti o basi di codice primarie di Slack.

La nostra risposta e indagine

Non appena siamo stati informati dell’incidente, abbiamo invalidato immediatamente i token rubati e abbiamo iniziato a indagare sulle potenziali conseguenze per i nostri clienti. I risultati attuali mostrano che l’autore dell’attacco non è riuscito ad accedere ad altre aree dell’ambiente di Slack, incluso l’ambiente di produzione, e neanche ad altre risorse o dati dei clienti di Slack. Non c’è stato alcun impatto sul nostro codice o sui nostri servizi e abbiamo anche ruotato tutte le credenziali rilevanti in via precauzionale.

In base alle informazioni disponibili al momento, l’accesso non autorizzato non è derivato da una vulnerabilità inerente a Slack. Le nostre indagini hanno rivelato che è stato compromesso un fornitore di terze parti. Abbiamo collaborato con il fornitore per la rotazione delle credenziali e stiamo lavorando per garantire la sicurezza dei token per il futuro.

Continueremo a indagare e monitorare eventuali esposizioni future. Abbiamo implementato ulteriori avvisi per monitorare il nostro repository GitHub ospitato esternamente. Stiamo inoltre lavorando con i nostri fornitori e partner per la sicurezza per assicurarci che i token usati per accedere a tutti i repository di Slack siano conservati in modo sicuro e protetto.

Domande frequenti

Cos’è un repository di codice?
Un repository di codice è una libreria di codice software. Oltre al codice, il repository contiene documentazione, note, pagine web e traccia delle modifiche.

Qual è l’impatto per me?
Non c’è stato alcun impatto per i clienti, che non devono intraprendere alcuna azione.

A chi posso rivolgermi in caso di ulteriori domande?
Se hai altre domande, contattaci all’indirizzo feedback@slack.com.

Questo post è stato utile?

0/600

Fantastico!

Grazie mille per il feedback!

Capito!

Grazie per il feedback!

Ops! Si è verificato un problema. Riprova più tardi.

Continua a leggere

Trasformazione

Slack per l'assistenza clienti: consigli degli esperti dalla Community di Slack di New York

Gli esperti di Slack spiegano come ottenere il massimo da Slack per l'assistenza clienti.

Produttività

Il tuo ambiente digitale è appena migliorato, con canvas di Slack

Una superficie che aumenta la produttività dei team dando una marcia in più al valore di Slack e Salesforce Customer 360

Collaborazione

Il futuro del lavoro a distanza: cosa c’è da sapere

Il lavoro a distanza era già diffuso, ma la pandemia ha portato a un vero e proprio boom. Quali sono le conseguenze di questa realtà ormai consolidata?

Collaborazione

Come si stanno evolvendo flessibilità ed equilibrio vita lavoro

In un ambiente di lavoro funzionale l’equilibrio vita lavoro è importante e la produttività si misura in base ai risultati e non alle ore passate alla scrivania.