Slack 徽标
新闻

Slack 安全更新

我们一贯高度重视安全、隐私和透明度方面的问题,特在下方分享近期发生的一次事故的细节。

作者: Slack’s Security Team2022 年 12 月 31 日

更新日期:2023 年 1 月 9 日

我们最近注意到一个安全问题,涉及未经授权访问 Slack 代码存储库中的一个子集。我们的客户未受到相关问题的影响,也无需采取任何行动,而且事故很快就得到了解决。我们一贯高度重视安全、隐私和透明度方面的问题,特在下方分享这次事故的细节。

发生何事

2022 年 12 月 29 日,我们收到通知,称我们的 GitHub 帐户存在可疑活动。经调查,我们发现有人窃取了 Slack 一小部分员工的令牌,并滥用令牌来访问我们外部托管的 GitHub 存储库。调查还显示,这个威胁行为体在 12 月 27 日下载了私有代码存储库。所下载的存储库并未包含客户数据、访问客户数据的方法,也未包含 Slack 的主要代码库。

应对措施和调查

在收到事故通知后,我们立即将被盗令牌作了无效处理,并着手调查对客户的潜在影响。我们目前的调查结果显示,这个威胁行为体并未访问包括生产环境在内的 Slack 环境的其他区域,也没有访问 Slack 的其他资源或客户数据。我们的代码和服务没有受到任何影响。此外,作为预防措施,我们一直以来都在轮换所有相关的凭据。

根据当前可得到的信息,此次未经授权访问并非由 Slack 的固有漏洞引起。调查显示,系第三方供应商遭到入侵。我们已经就凭据轮换事宜与相关供应商合作,以确保未来令牌的安全性。

我们会继续进行调查和监控,以发现是否存在其他暴露风险。我们增加了额外的警报,以监控我们外部托管的 GitHub 存储库。此外,我们还与供应商和安全合作伙伴携手,共同确保用于访问任何 Slack 存储库的令牌得到安全可靠的储存。

常见问题

什么是代码存储库?
代码存储库是一个存储软件代码的库。除了代码本身,这个存储库还会保存文档、备注和网页,并会对更改进行跟踪。

我会受到什么影响?
客户未受到影响,因而也无需采取任何行动。

如果我有其他疑问,可以向谁咨询?
如果你有任何其他疑问,请发送电子邮件至 feedback@slack.com 联系我们。

这个帖子有用吗?

0/600

太棒了!

非常感谢你提供反馈!

收到!

感谢你提供反馈。

糟糕!我们遇到问题了。请稍后重试!

继续阅读

新闻

纵深防御:三项全新安全功能,倾力守护您的数字总部

这些改进带来了更高的透明度,让团队无畏拥抱未来的工作模式

转型

为什么近 80% 的《财富》100 强公司都依赖 Slack Connect 来建立自己的数字总部

使用这款屡获殊荣的首选产品,与客户建立更牢固的关系,促进与外部合作伙伴的顺畅沟通

新闻

全新 Slack 产品创新亮相 Dreamforce

建立数字总部,实现更灵活、更包容和更高效的工作方式