슬랙(Slack)계정이 유출되었다?

슬랙(Slack)계정이 유출되었다?

Hacking Slack accounts: As easy as searching GitHub

슬랙(Slack) 메신저는 업무용 메신저로 2015년 2월 1주년이 되었습니다. 1년만에 활성사용자수 50만명을 돌파하였으며, 2014년 말부터 이메일, 문자, Google Drive, Twitter, Trello, Asana, GitHub 등 65종의 툴과 서비스를 융합하여 기업 커뮤니케이션의 효율을 높여주고 있습니다. 

Detectify사의 블로그에 따르면 약1500개의 Slack 토큰이 웹상에 공개되었으며, 이 중에는 500대 기업들,간편결제,ISP회사 등의 토큰도 포함되어 있다고 밝혔습니다. 

연구원은 자신들이 발견한 것들을 Slack에게 보고하였으며, Slack은 민감한 토큰이 유출되었는지 조사에 착수하기로 하였습니다. 

GitHub에 유출된 대량의 Slack 토큰

Github검색에서 “xoxp”로 검색을 하면 7400개가 넘는 검색결과가 나오는데, 이 “xoxp”는 자동와 스크립트로써 Slack계정에 방문시 사용되는 Token의 Prefix입니다. 설령 2factor 인증을 사용한다 해도, 해당 Prefix를 사용하게 됩니다. 현재4100개가 넘는  “xoxb”에 해당하는 검색결과를 찾을 수도 있습니다.

모든 검색결과가 계정에 로그인될 때 사용되는 token은 아니지만, 검색결과 중 상당부분이 로그인할때 사용하는 token 입니다. 개발자들이 무의식중에 tokens이 포함된 코드를 웹상에 올렸으며, 이를 사용하면 누구나 개발자와 회사 간의 대화를 엿보거나 Slack을 통하여 주고받는 데이터를 탈취할 수 있습니다. 

“Detectify는 이미 Github상에서 대량의 token을 찾을 수 있으며, 새로운 token들도 매일 올라오고 있다고 언급했으며, 가장 위험한 상황은 이러한 Token을 통해 제품DB계정, 소스코드 혹은 암호화 된 문서, 민감 정보 등을 유출시킬 수 있다는 것이다.”라고 블로그에 언급하였습니다.

 

스크립트는 관련있는 계정들로 하여금 주기적인 회의 알림, 혹은 연락처에 있는 정보를 다른 사용자에게 전달하는 등 다양한 task를 실행할 수 있도록 합니다.  많은 개발자들은 이런 스크립트들은 Github나 다른 오픈소스 버전관리 시스템에 업로드 하여 관리합니다. 

사실, 이러한 민감정보들이 Github에 올라오는 것은 새로운 일이 아니며, 이전에도 50000명의 Uber 기사들의 DB가 유출되는 등의 사건이 일어나기도 했었습니다. 

 

이에 관련하여 Slack 은 공식입장을 밝혔습니다.

 

Token은 반드시 비밀번호와 동일하게 대해야 하며, 우리는 개발자들에게 token을 생성할 때 다른 사용자 혹은 다른 프로그램과 공유하지 않도록 주의하라고 합니다. 클라이언트들의 보안이 우리에게 있어 매우 중요하기 때문에, 우리는 지속적으로 우리의 document를 개선해 나갈 것이며, 사용자들에게 알려주어 보안을 유지할 것입니다. 일단, 우리는 공개token에 대하여 모니터링을 하고, 공개token을 발견한다면 삭제 및 해당 token을 생성한 사용자와 해당token에 영향을 받는 그룹 혹은 기업에게 알려줄 것입니다. 

예방방법

Slack의 공개 token 모니터링 방법은 주의할 만한 방법입니다. 하지만 token이 업로드 되는 속도가 매우 빠르며, 손이 빠른 해커들은 Slack이 공개 token을 찾아 삭제하기 전 그것들을 발견할 것입니다. Slack 스크립트를 Github에 업로드 할 때 Token과 함께 업로드 하지 않도록 주의해야 하며, 환경변수를 이용하여 token이 코드 내에서 보이지 않도록 해야합니다. 

출처 :

http://arstechnica.com/security/2016/04/hacking-slack-accounts-as-easy-as-searching-github/