Aanvallers hebben code gestolen uit private GitHub-repositories van Slack. Klantendata is niet getroffen maar Slack probeerde het nieuws wel stil te houden.
Aanvallers hebben code gestolen van samenwerkingstool Slack. Dat gebeurde eind vorig jaar al, maar de melding die Slack op 31 december maakte bleef een week onopgemerkt. Nu bindt BleepingComputer de kat de bel aan.
Criminelen konden zich op 27 december toegang verschaffen tot externe gehoste GitHub-repositories waarin private code van Slack zit. Dat deden ze met de hulp van een aantal gestolen tokens van Slack-werknemers. De primaire code van Slack is niet getroffen en er is geen indicatie dat de aanvallers Slack of zijn gebruikers nu kunnen treffen.
De aanval zou niet wijzen op een kwetsbaarheid binnen Slack zelf. Slack wijst er verder op dat de gestolen code ook niet onrechtstreeks misbruikt kan worden om klanten te benadelen.
Weinig ruchtbaarheid
Ondanks de beperkte impact lijkt Slack toch z’n best te hebben gedaan om het nieuws van de aanval te verbergen. BleepingComputer merkt op dat het nieuws wel gepubliceerd is, maar niet op de internationale nieuwsblog. Bovendien heeft Slack het relevante nieuwsbericht van een noindex-tag voorzien, die indexering door zoekmachines voorkomt. Als klap op de vuurpijl staat die tag onderaan de html-code in de plaats van bovenaan, wat gebruikelijk is.