Utvecklare som byggt bottar till den hajpade kommunikationsplattformen Slack bör se upp. I många fall finns deras personliga inloggningsuppgifter med i källkoden, enligt svenska säkerhetsföretaget Detectify.
De har gått igenom många av de Slack-bottar som finns upplagda på Github och upptäckt att utvecklare ofta lägger in sina egna tokens i koden, förmodligen utan att inse vilken tabbe det är. Problemet är att certifikaten i vissa fall innehåller utvecklarens inloggningsuppgifter, och kan användas för att logga in på de Slack-kanaler som denne har behörighet för.
Läs också: Facebook för jobbet inte färdigt för lansering – släpps ”senare i år”
Ofta är bottarna rena hobbyprojekt – fyllda med Jurassic Park-citat eller påminnelser om att stretcha – som något snickrat ihop på fritiden. Men i värsta fall innehåller de uppgifter som gör det möjligt att snoka igenom privata chattrum där inga utomstående hör hemma.
Detectify har hittat hittat över 1 500 certifikat bara genom att söka igenom Github, och många nya dyker upp varje dag. Bland dem finns inloggningsuppgifter till privata chattkanaler som tillhör storföretag, betalningstjänster och flera internetoperatörer.
Läs också: Slack sprids som en löpeld på företagen – växer snabbast av alla molntjänster
Detectify har meddelat Slack, som svarar att det i slutänden är kundernas fel att de delar med sig av sina privata uppgifter – privata tokens ska inte finnas med i koden. Men Slack säger sig också ha börjat gå igenom nätet efter lösenord på vift och meddelar berörda företag.
