Злоумышленники получают доступ к внешним репозиториям GitHub через «ограниченное» количество украденных токенов сотрудников Slack.
По информации компании, хотя некоторые из частных репозиториев кода Slack были взломаны, основная кодовая база и данные клиентов остаются нетронутыми.
Сервис сообщил, что 29 декабря 2022 года он получил уведомление о подозрительной активности в учётной записи на GitHub. В ходе расследования обнаружилось, что ограниченное количество токенов сотрудников Slack украли и использовали не по назначению для получения доступа к внешнему репозиторию GitHub. Злоумышленник загрузил частные репозитории кода 27 декабря. Ни один из загруженных репозиториев не содержал данных клиентов, средств доступа к ним или основной кодовой базы Slack.
В настоящее время сервис ведёт расследование. Компания изменила токены, к которым получили доступ хакеры. Клиентам не нужно предпринимать никаких действий.
В августе 2022 года Slack сбросил пароли пользователей после случайного раскрытия хэшей.
Ранее GitHub объявил, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию. Также платформа внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.