Slack 安全性更新

2023 年 1 月 9 日更新

最近我們發現一項安全性問題，未經授權的威脅發動者逕自存取 Slack 程式碼儲存庫的部分內容。我們的客戶並未受到影響，也不必執行任何動作，事件很快就順利排除。我們相當重視安全性、隱私和透明度，因此與你分享該事件的詳細資料如下。

事件經過

2022 年 12 月 29 日，我們接獲 GitHub 帳號出現可疑活動的通知。著手調查後，我們發現少數 Slack 員工權杖遭到竊取及濫用，以試圖存取託管於外部的 GitHub 儲存庫。調查結果也顯示，威脅發動者在 12 月 27 日下載了私人程式碼儲存庫。下載的儲存庫中沒有任何客戶資料、存取客戶資料的方式，也沒有 Slack 的主要程式碼基底。

回應與調查

收到事件通知後，我們立即將遭竊的權杖廢除，並開始調查客戶可能受到哪些影響。最新的調查結果指出，威脅發動者並未存取 Slack 環境的其他部分 (包括實際運作的環境)，也未存取其他 Slack 資源或客戶資料。我們的程式碼或服務均未受到影響，且為了保險起見，我們也輪換了所有相關憑證。

根據最新取得的資訊，這次未經授權的存取行為並非源自 Slack 內部既有的漏洞。調查結果顯示，有家第三方廠商遭到入侵。我們已協助該廠商建立憑證輪換機制，確保日後權杖的安全。

我們會持續調查，並監控後續是否引發資料外洩情形。我們已增設並強化警示，以加強監控託管於外部的 GitHub 儲存庫。此外，我們也與廠商和安全性合作夥伴攜手合作，確保存取任何 Slack 儲存庫所需的權杖能夠安全無虞。

常見問答集

什麼是程式碼儲存庫？
程式碼儲存庫是集中存放軟體程式碼的地方。除了程式碼之外，儲存庫也會存放說明文件、節點、網頁和變更追蹤記錄。

我受到了什麼影響？
沒有任何客戶受到影響，客戶也不需執行任何動作。

如果還有其他疑問，該如何尋求協助？
如有任何其他疑問，請透過電子郵件 feedback@slack.com 與我們聯絡。