El equipo de seguridad de Slack está trabajando para arreglar una grave vulnerabilidad en su sistema de chatbots que pudo haber expuesto la información de login de miles de empresas y organizaciones.



La firma Detectify fue la que descubrió la vulnerabilidad en el sistema de bots de Slack.  Esta vulnerabilidad puede exponer contraseñas, mensajes privados y otras credenciales de bases de datos de una cuenta si el desarrollador del bot incluye los tokens de Slack (credenciales asociadas a la cuenta personal de Slack) en el código del bot, una práctica nada segura, ya que el tipo de tokens de Slack es muy fácil de detectar en el código del bot.

Cualquiera que tiene acceso al código del bot vía Github u otro servicio donde se comparte código, puede obtener acceso a un montón de información que los grupos de trabajo de una empresa comparten a través de Slack.  Algo que según la fuente es muy difícil de detectar.

slack-bot

Hasta el momento la empresa Detectify descubrió los tokens de más de 1.500 empresas y organizaciones, entre ellas varias empresas de primer nivel y organizaciones como por ejemplo prestigiosas universidades, aunque ni Detectify, ni Slack, dieron a conocer públicamente el nombre de las mismas.

Slack ya ha revocado los tokens filtrados en los bots que utilizaron las empresas afectadas hasta el momento y les ha comunicado sobre el problema.

Vía | TNW