Publié dans Internet

13

Fuite de données chez Slack : des pirates ont accédé à un « GitHub hébergé en externe »

Fuite de données chez Slack : des pirates ont accédé à un « GitHub hébergé en externe »

L’incident s’est déroulé à partir du 27 décembre et identifié deux jours plus tard : « Après enquête, nous avons découvert qu’un petit nombre de jetons de membres du personnel de Slack avaient été dérobés et utilisés à mauvais escient pour accéder à notre référentiel GitHub hébergé en externe ».

L’enquête de Slack indique que « le pirate informatique avait téléchargé des référentiels de code privés le 27 décembre ». « Aucun référentiel téléchargé ne contenait de données clients, de moyens d’accéder aux données clients, ou le code base principal de Slack », se dépêche d’ajouter la société. 

Cette dernière rappelle qu’un « référentiel de code est une bibliothèque de code logiciel. Outre le code lui-même, le référentiel contient de la documentation, des notes, des pages web et le suivi des modifications apportées ».

Les jetons utilisés ont évidemment été invalidés. « D’après nos conclusions actuelles, le pirate informatique n’a accédé à aucune autre zone de l’environnement Slack, y compris l’environnement de production, ni à aucune autre ressource Slack ou aux données clients. Cette intrusion n’a eu aucun impact sur notre code ou nos services, et nous avons également modifié l’ensemble des identifiants pertinents par précaution », ajoute la société.

13

Tiens, en parlant de ça :

Deux requins étiquetés par portions avec les marques des entreprises d'IA génératives nagent dans l'océan

Automattic veut vendre les publications Tumblr et WordPress.com à Midjourney et OpenAI

C'était automatique

16:12 ÉcoIA 17
Photo d'une pince coupante

Sécurité des routeurs : le FBI démontre une nouvelle fois l’ampleur du problème

Retravaillons les bases

15:28 Sécu 6
des journaux

Google paye des éditeurs d’information pour entraîner une nouvelle plateforme d’IA générative

🎧 Age of Anxiety II

15:00 IASociété 7
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

13

Commentaires (13)


T. Abonné
Le 09/01/2023 à 07h 47

Traduction “intéressante” de /repository/ par référentiel au lieu de “dépôt”.


Le 09/01/2023 à 08h 17

C’est pas la première erreur de traduction assez grossière dans les Brief récemment, surtout pour un journal « Tech », j’ai l’impression qu’ils essaient de les automatiser par Google Trad


fred42 Abonné
Le 09/01/2023 à 08h 33

BarbossHack

C’est pas la première erreur de traduction assez grossière dans les Brief récemment, surtout pour un journal « Tech », j’ai l’impression qu’ils essaient de les automatiser par Google Trad


Ici, c’est le terme qui apparaît sur leur site en français. La traduction (peut-être automatique) est de Slack.



NXI n’y est pour rien.


jpaul Abonné
Le 09/01/2023 à 09h 40

C’est une traduction qui est souvent utilisée et que j’ai vu passer pas mal de fois. Y compris par GitHub.



A ma connaissance il n’y a pas de traduction “officielle” des termes utilisé par git et “dépôt” n’est qu’une traduction littérale de repository. Référentiel ne m’a jamais paru être une mauvaise traduction.


Le 09/01/2023 à 08h 24

Aucune explication sur comment ces jetons ont été récupérés ?


SebGF Abonné
Le 09/01/2023 à 09h 50

spidermoon a dit:


Aucune explication sur comment ces jetons ont été récupérés ?




Ca peut aller vite, on a eu des cas de fuite de tokens par copier/coller malencontreux dans un linter en ligne. La personne qui l’utilisait ne savait pas qu’il enregistrait toutes les requêtes.



Perso je compte plus les repos dans lesquels on retrouve des scripts shell avec des tokens en dur dedans pour faire des trucs… Le hic avec GitHub, c’est que si sur un repo public ils invalident immédiatement le token à détection car la détection de secrets est active par défaut, sur un privé ou d’entreprise il faut acheter la license Advanced Security pour ça.



C’est aussi un bon côté des nouveaux PAT qui sont en bêta, une orga d’entreprise peut les invalider directement si elle suspecte une activité louche dessus. Là où sur un PAT actuel, elle ne peut rien faire à part révoquer le token SSO associé. Si tant est qu’elle ait relié son orga à son SSO.


xlp Abonné
Le 09/01/2023 à 13h 32

Un dépôt GitHub hébergé en externe ? Comme tous les dépôts GitHub pour qui n’est pas GitHub (ou MS ou quiconque héberge les dépôts GitHub) ?


Le 09/01/2023 à 14h 26

Je ne sais rien du contexte de Slack, mais Github permet d’installer une version On Prem (Github Enterprise Server), pour ceux qui préfèrent héberger eux même.


xlp Abonné
Le 10/01/2023 à 16h 45

PanDaReN

Je ne sais rien du contexte de Slack, mais Github permet d’installer une version On Prem (Github Enterprise Server), pour ceux qui préfèrent héberger eux même.


Ah j’ai fait une recherche rapide avec « self hosted » j’aurais dû essayer on premise, merci.


SebGF Abonné
Le 09/01/2023 à 16h 30

Vu leur façon de s’exprimer, je comprends ça comme étant “chez notre prestataire GitHub”. En gros ça indique qu’ils hébergent leur code sur GitHub et non sur un système interne (comme un GitLab on-prem par exemple).


xlp Abonné
Le 10/01/2023 à 16h 47

SebGF

Vu leur façon de s’exprimer, je comprends ça comme étant “chez notre prestataire GitHub”. En gros ça indique qu’ils hébergent leur code sur GitHub et non sur un système interne (comme un GitLab on-prem par exemple).


Je l’ai pris comme ça aussi, mais depuis que PanDaReN m’a fait découvrir que GitHub a une version on premise la formulation prend tout son sens.


SebGF Abonné
Le 10/01/2023 à 18h 32

xlp

Je l’ai pris comme ça aussi, mais depuis que PanDaReN m’a fait découvrir que GitHub a une version on premise la formulation prend tout son sens.


Oui, GitHub Enterprise Server permet d’héberger soit-même le service. Mais j’ai des doutes que Slack s’en serve, c’est quand même un besoin assez spécifique.



Je pense plutôt que c’est l’orga slaskhq qui doit avoir été touchée par la fuite.


Berbe Abonné
Le 09/01/2023 à 21h 55

jpaul a dit:


Référentiel ne m’a jamais paru être une mauvaise traduction.




Référentiel suppose un point de référence, ce qui n’est pas la sémantique derrière l’entreposage de code (quelque soit la technologie utilisée), qui ne fait que décrire un endroit où le code est stocké.
Dépôt semble plus adapté, ou entrepôt, plutôt tombé en désuétude mais tout à fait juste, car correspondant à la réalité technique des outils visés.



La sémantique peut être ajoutée par-dessus la description technique : par exemple, un dépôt peut très bien servir afin de stocker un référentiel d’une nature quelconque.