De 1500 tokens zijn inmiddels ongeldig gemaakt door Slack, melden de onderzoekers. Het gebeurt helaas nog steeds vaak dat er authenticatiemiddelen per ongeluk openbaar worden gemaakt.

In openbare code-repository's zijn al eerder inloggegevens voor clouddienst AWS gevonden, Uber was het slachtoffer van datadiefstal nadat een dev domeinwachtwoorden op GitHub zette en zoeken op SSH-sleutels met zoektermen als 'RSA' leveren al jaren interessante vondsten op.

Slack-credentials lijken misschien een vreemde toevoeging aan een repo, maar de onderzoekers van Detectify wijzen erop dat er tegenwoordig veel wordt geautomatiseerd door code toe te voegen via chat-applicaties als Slack. Via de tokens krijgen kwaadwillenden toegang tot de applicatie en dat opent de deur naar (interne) resources als databases, servers, inloggegevens et cetera.

Verantwoordelijkheid devs

De onderzoekers spraken met enkele bedrijven wiens tokens werden gevonden en melden dat een veelvoorkomende reactie was dat ontwikkelaars niet beseften hoeveel toegang er wordt verleend via dit soort gegevens.

Slack stelt voortaan proactiever op te treden in het geval van openbaar gemaakte tokens, maar vindt het in de eerste plaats wel de verantwoordelijkheid van de ontwikkelaar om hier voorzichtig mee om te gaan.