Slack 安全更新

更新日期：2023 年 1 月 9 日

我们最近注意到一个安全问题，涉及未经授权访问 Slack 代码存储库中的一个子集。我们的客户未受到相关问题的影响，也无需采取任何行动，而且事故很快就得到了解决。我们一贯高度重视安全、隐私和透明度方面的问题，特在下方分享这次事故的细节。

发生何事

2022 年 12 月 29 日，我们收到通知，称我们的 GitHub 帐户存在可疑活动。经调查，我们发现有人窃取了 Slack 一小部分员工的令牌，并滥用令牌来访问我们外部托管的 GitHub 存储库。调查还显示，这个威胁行为体在 12 月 27 日下载了私有代码存储库。所下载的存储库并未包含客户数据、访问客户数据的方法，也未包含 Slack 的主要代码库。

应对措施和调查

在收到事故通知后，我们立即将被盗令牌作了无效处理，并着手调查对客户的潜在影响。我们目前的调查结果显示，这个威胁行为体并未访问包括生产环境在内的 Slack 环境的其他区域，也没有访问 Slack 的其他资源或客户数据。我们的代码和服务没有受到任何影响。此外，作为预防措施，我们一直以来都在轮换所有相关的凭据。

根据当前可得到的信息，此次未经授权访问并非由 Slack 的固有漏洞引起。调查显示，系第三方供应商遭到入侵。我们已经就凭据轮换事宜与相关供应商合作，以确保未来令牌的安全性。

我们会继续进行调查和监控，以发现是否存在其他暴露风险。我们增加了额外的警报，以监控我们外部托管的 GitHub 存储库。此外，我们还与供应商和安全合作伙伴携手，共同确保用于访问任何 Slack 存储库的令牌得到安全可靠的储存。

常见问题

什么是代码存储库？
代码存储库是一个存储软件代码的库。除了代码本身，这个存储库还会保存文档、备注和网页，并会对更改进行跟踪。

我会受到什么影响？
客户未受到影响，因而也无需采取任何行动。

如果我有其他疑问，可以向谁咨询？
如果你有任何其他疑问，请发送电子邮件至 feedback@slack.com 联系我们。