Een niet-gemachtigde gebruiker heeft toegang gekregen tot GitHub repositories van Slack. De gebruiker wist de code repositories te downloaden voordat het lek door Slack werd gedicht.
De schade lijkt beperkt, want geen van de gestolen repositories hebben betrekking tot de broncode of gebruikersgegevens van Slack. De organisatie benadrukt dat broncode en gebruikersgegevens elders zijn opgeslagen, maar bevestigt niet waar de gestolen repositories voor werden gebruikt.
In de verklaring legt Slack uit dat het op 29 december 2022 een GitHub-melding ontving over verdachte activiteit. Nader onderzoek wees uit dat een onbekende persoon gestolen access tokens gebruikte voor toegang tot private GitHub repositories van de organisatie.
Access tokens zijn een vorm van inloggegevens. De betreffende persoon gebruikte access tokens van Slack-medewerkers. Volgens Slack zijn de access tokens ergens in het verleden gestolen. Hoe en wanneer maakte de organisatie niet bekend.
Onduidelijkheid
In de verklaring stelt Slack herhaaldelijk dat de access tokens geen toegang boden tot repositories voor broncode of gebruikersgegevens. De inhoud van de gestolen repositories is een raadsel. Het is mogelijk dat de repositories voor ontwikkelingsomgevingen werden gebruikt, maar de organisatie heeft niets bevestigd.
Slack belooft dat gebruikers geen actie hoeven te ondernemen. Wat er dan ook in de repositories werd opgeslagen, het heeft volgens de organisatie geen invloed op klanten. Slack stelt dat het lek is gedicht. De gestolen access tokens werden geblokkeerd en de inloggegevens van betrokken medewerkers zijn gewijzigd.
GitHub
GitHub is een geliefde opslaglocatie voor code. Het incident bij Slack onderstreept waarom. De automatische systemen van GitHub weten regelmatig niet-gemachtigde gebruikers te detecteren. Het platform scant voortdurend op verdacht gedrag, waardoor organisaties als Slack een valnet hebben wanneer het intern misgaat — bijvoorbeeld door gestolen access tokens.
Ook securitybedrijf Okta werd onlangs door GitHub uit de brand geholpen. In december 2022 ontving de organisatie een securitymelding van GitHub over niet-gemachtigde toegang tot repositories. Naderhand bleek dat een of meerdere gebruikers broncode van het bedrijf hadden gestolen.
De oorzaak is tot op heden onbekend. BleepingComputer deelde het nieuws op basis van een gelekte memo uit december 2022. Okta beloofde voor het einde van de dag een blog te publiceren over het incident. Inmiddels zijn we weken verder en is er nog altijd geen spoor van een verklaring op de blogpagina te vinden.
Tip: Okta CEO belooft vertrouwen te herstellen na Lapsus$-hack