Slack 是全球最知名的通信和协作平台之一,主要是为企业 / 组织提供服务。2021 年 1 月 Slack 和 Salesforce 宣布达成协议,Salesforce 以约 277 亿美元的价格收购了 Slack,如今 Slack 在全球范围大约有 2000 多万用户。
前段时间正值国外的圣诞假期,只不过 Slack 的工程师们在假期应该过得十分郁闷,因为在 12 月 27 日他们的私有 GitHub 代码库遭到入侵并发生代码泄漏。
不法分子通过被盗的 "有限" 数量的 Slack 员工令牌获得了对 Slack GitHub 仓库的访问权。Slack 表示,虽然公司的一些私有代码库被入侵,但 Slack 的主要代码库和客户数据并没有受到影响。
Slack 发布的公告内容如下:
2022 年 12 月 29 日,我们被告知我们的 GitHub 账户上有可疑活动。经调查,我们发现数量有限的 Slack 员工令牌被盗,并被滥用于访问我们外部托管的 GitHub 仓库。我们的调查还显示,黑客在 12 月 27 日下载了私有代码库。下载的仓库没有包含客户数据、访问客户数据的手段或 Slack 的主要代码库。
Slack 目前已经将被盗的令牌做了失效处理,并轮换了相关密钥。Slack 也正在调查此次事件对客户的 "潜在影响"。目前没有迹象表明 Slack 包括生产在内的各种敏感环境有被访问的情况。
Slack 的安全团队同时强调到「根据目前可用的信息,未经授权的访问并不是由 Slack 固有的漏洞造成的」。
作为全球最知名的通信平台,被黑客盯上也是非常正常的一件事情。在 2015 年,Slack 受到了连续多日的网络攻击,当时黑客闯入其用户资料数据库,获取了不少用户信息。在 2020 年中期,该公司遭受了一次数据泄露,迫使它为成千上万的用户重置密码。