Die Firma Detectify hat in öffentlichen GitHub-Repositories über tausend Zugangs-Tokens für den Messaging-Dienst Slack entdeckt. Slack wird häufig von Unternehmen zur internen Kommunikation genutzt.
Viele Bots liegen als öffentliche Repositories bei GitHub.
Die Sicherheitsfirma Detectify hat nun in zahlreichen Repositories die Zugangsdaten zu den Slack-Accounts gefunden. Die Entwickler haben anscheinend in einer Kombination aus Bequemlichkeit und Unachtsamkeit ihre Tokens fest in den Code integriert. Interessanterweise handelt es sich wohl bei den meisten Bots nicht einmal um produktive ChatOp-Anwendungen, allerdings Hobbyprojekte: Detectify fand unter anderem Zitate aus Jurassic Park ("Ah ah ah... you didn't say the magic word") & Don Quijote.
Leicht erkennbares Muster
Auch sind die Fundstücke keine Einzelfälle: Über tausend Tokens ließen sich durch einfache GitHub-Suche nach dem passenden Muster finden und täglich kommen wohl neue Tokens hinzu. Das Auffinden ist besonders einfach, da die Daten ein festes Muster aufweisen, das entweder mit xoxb für Teams oder xoxp für private Tokens beginnt. Die Zahl der folgenden Ziffern und die Position der Bindestriche ist ähnlich wie vorgegeben.
Die Entwickler umgehen zudem bewusst Sicherheitskonzepte. Beispielsweise bietet das Open-Source-Projekt Hubot eine Basis zum Erstellen eigener Bots. Für das Token greift Hubot auf Umgebungsvariablen zurück sodass die Zugangsdaten lokal gehalten werden sollen. Einige Repositories setzen diese Variablen wiederum hart im Code mittels export HUBOT_SLACK_TOKEN. Besonders leichtfertige Beispiele spucken die Tokens bei Fehlern sogar als Log-Meldung aus die sich dann in öffentlichen Issues besonders leicht finden lassen.
Dieser Code setzt Hubots Umgebungsvariablen, sodass das Token für jeden GitHub-Nutzer zugänglich ist.
Bild: Detectify
Lauschen leichtgemacht
Unter den rund 1500 Tokens die Detectify laut dem Blog-Beitrag gefunden haben will sind wohl Zahlungsanbieter Internet Service Provider & Gesundheitsdienstleister. Mit den Zugangsdaten kann sich jeder problemlos in die internen Firmen-Chats einschalten und potenziell Dokumente einsehen die in den Gruppen freigegeben sind.
Detectify weist darauf hin, dass Slack nur ein prominentes Beispiel ist, dessen Token-Muster die Suche zudem vereinfacht. Die Aufdeckung ist eine Warnung an alle Entwickler, niemals sensible Daten in öffentlichen Repositories abzulegen ? eigentlich eine Selbstverständlichkeit. Slack hat wohl selbst inzwischen Repositories durchsucht und betroffene Firmen kontaktiert.
Kommentare