Zahlreiche Zugangsdaten für den Messaging-Dienst Slack auf GitHub entdeckt
Die Sicherheitsfirma Detectify hat über tausend Zugangs-Tokens für Slack in öffentlich zugänglichen GitHub-Repositories gefunden.
- Rainald Menge-Sonnentag
Den Messaging-Dienst Slack nutzen viele Firmen für die interne Kommunikation. Dank der leicht zugänglichen Slack-API finden kreative Entwickler zahlreiche Anwendungsfälle für eigene Chat-Bots. Viele Bots liegen als öffentliche Repositories bei GitHub.
Die Sicherheitsfirma Detectify hat nun in zahlreichen Repositories die Zugangsdaten zu den Slack-Accounts gefunden. Die Entwickler haben anscheinend in einer Kombination aus Bequemlichkeit und Unachtsamkeit ihre Tokens fest in den Code integriert. Interessanterweise handelt es sich wohl bei den meisten Bots nicht einmal um produktive ChatOp-Anwendungen, sondern Hobbyprojekte: Detectify fand unter anderem Zitate aus Jurassic Park ("Ah ah ah... you didn't say the magic word") und Don Quijote.
Leicht erkennbares Muster
Auch sind die Fundstücke keine Einzelfälle: Über tausend Tokens ließen sich durch einfache GitHub-Suche nach dem passenden Muster finden und täglich kommen wohl neue Tokens hinzu. Das Auffinden ist besonders einfach, da die Daten ein festes Muster aufweisen, das entweder mit xoxb für Teams oder xoxp für private Tokens beginnt. Die Zahl der folgenden Ziffern und die Position der Bindestriche ist ebenfalls vorgegeben.
Die Entwickler umgehen zudem bewusst Sicherheitskonzepte. Beispielsweise bietet das Open-Source-Projekt Hubot eine Basis zum Erstellen eigener Bots. Für das Token greift Hubot auf Umgebungsvariablen zurück, sodass die Zugangsdaten lokal gehalten werden sollen. Einige Repositories setzen diese Variablen wiederum hart im Code mittels export HUBOT_SLACK_TOKEN. Besonders leichtfertige Beispiele spucken die Tokens bei Fehlern sogar als Log-Meldung aus, die sich dann in öffentlichen Issues besonders leicht finden lassen.
(Bild: Detectify)
Lauschen leichtgemacht
Unter den rund 1500 Tokens, die Detectify laut dem Blog-Beitrag gefunden haben will, sind wohl Zahlungsanbieter, Internet Service Provider und Gesundheitsdienstleister. Mit den Zugangsdaten kann sich jeder problemlos in die internen Firmen-Chats einschalten und potenziell Dokumente einsehen, die in den Gruppen freigegeben sind.
Detectify weist darauf hin, dass Slack nur ein prominentes Beispiel ist, dessen Token-Muster die Suche zudem vereinfacht. Die Aufdeckung ist eine Warnung an alle Entwickler, niemals sensible Daten in öffentlichen Repositories abzulegen – eigentlich eine Selbstverständlichkeit. Slack hat wohl selbst inzwischen Repositories durchsucht und betroffene Firmen kontaktiert. (rme)
