チャットツール・Slackにおいて、GitHubに保管されていたプライベートなコードリポジトリが何者かによってダウンロードされていたことがわかりました。顧客データは含まれていないとのことで、Slackはただちに盗難に用いられたトークンを無効化するなどの対策を取っています。

Slack security update | Slack

https://slack.com/intl/en-gb/blog/news/slack-security-update



Slack's private GitHub code repositories stolen over holidays

https://www.bleepingcomputer.com/news/security/slacks-private-github-code-repositories-stolen-over-holidays/

Slackによると、GitHubアカウントで不審な動作が見つかったのは2022年12月29日のこと。調べた結果、従業員のトークンがGitHubリポジトリへのアクセスに勝手に利用されていたことがわかりました。この攻撃者は、2022年12月27日にプライベートコードリポジトリをダウンロードしていたとのこと。

コードリポジトリは、ソフトウェアコードのライブラリで、コードそのもののほかにドキュメントやメモなどを含みますが、ダウンロードされたリポジトリには顧客データは含まれていなかったそうです。

Slackはただちに当該トークンを無効化。攻撃者は本番環境を含むSlack環境にはアクセスしておらず、コードやサービスへの影響はないとのことです。

なお、ニュースサイトのBleeping Computerは、この件を発表したSlackの公式ブログ記事が記事一覧ページには表示されず、また「noindex」タグが挿入されていることから、検索エンジンから隠そうとしているのではないかと指摘していますが、記事作成時点では解消されていました(下記画像の赤枠部分に当該記事へのリンク)。Slackが意図的に表示していなかったのか、反映が遅かっただけなのかは不明です。

News | Slack

https://slack.com/intl/en-gb/blog/news