Deaktivierung von benutzerdefinierten Bots und Team-Sicherheit

Was ist passiert?

Am Morgen des 23. Dezembers 2015 haben wir bestimmte benutzerdefinierte Bots deaktiviert, die von Benutzern erstellt wurden, deren Accounts deaktiviert worden sind. Damit wollten wir den Schutz der Inhalte der Slack-Workspaces sicherstellen, in denen sie aktiviert waren.

Ein benutzerdefinierter Bot ist eine Anwendung, die als nicht-menschlicher Benutzer in deinen Workspaces fungiert. Mitglieder können mit ihm genauso interagieren, wie sie das miteinander tun. Die Einrichtung dafür muss ein menschlicher Benutzer vornehmen, genauso wie bei jeder anderen Integration in einem Slack-Workspace. Falls dieser menschliche Benutzer deaktiviert ist, sollte auch der Bot dieses Benutzers nicht länger aktiv sein und keinen Zugriff mehr auf den Workspace und seine Inhalte haben. Ein Fehlerbericht (Bug Report) legte den Schluss nahe, dass dies nicht in jedem Fall passierte, so wie es eigentlich sein sollte. Als wir daraufhin unsere Systeme auf ähnliche Aktivität überprüft haben, entdeckten wir einige benutzerdefinierte Bots in anderen Workspaces, die entgegen unseren Erwartungen weiterhin aktiv waren.

Auch wenn wir keinen Grund zu der Annahme haben, dass Leute diese Umstände ausgenutzt haben, um Nachrichten zu lesen, auf die sie anderenfalls keinen Zugriff gehabt hätten, (oder dass sich überhaupt jemand dessen bewusst war), können wir dies nicht mit Sicherheit ausschließen. Wir nehmen Sicherheit sehr ernst, deshalb haben wir diese Bots schnell deaktiviert und alle betroffenen Slack-Workspaces darüber in Kenntnis gesetzt.

 

Wie viele Workspaces waren betroffen?

Wir fanden bei 0,05 % der Slack-Workspaces einen aktiven, benutzerdefinierten Bot, der mit einem deaktivierten Benutzer verknüpft war. Diese Bots wurden deaktiviert und die betroffenen Workspaces wurden darüber informiert.

 

Wie wurde der Vorfall entdeckt?

Wir wurden durch einen Bug, den ein Benutzer gemeldet hat, darauf aufmerksam. Slack hat ein aktives Prämienprogramm, das Fehlerberichte unter https://slack.com/report-vulnerability belohnt.

 

Wie lange habt ihr von diesem Bug gewusst, bevor ihr die betroffenen Workspaces davon unterrichtet habt?

Seit wir darauf aufmerksam gemacht wurden, haben wir sorgfältig überprüft, welche Workspaces möglicherweise davon betroffen sein könnten. Wir wollten so schnell wie möglich kommunizieren und zugleich sicherstellen, dass unsere Angaben auch korrekt waren. Am Freitag, dem 18. Dezember, erhielten wir abends einen Bericht von einem Benutzer und begannen mit unseren Untersuchungen. Als Ergebnis dieser Untersuchungen haben wir eine Überprüfung benutzerdefinierter Bot-Integrationen in Slack vorgenommen, die wir am Montagabend des 21. Dezembers 2015 abgeschlossen haben. Wir haben die betroffenen Workspaces binnen 36 Stunden nach Abschluss der Überprüfung darüber informiert.

 

Auf welche Inhalte konnten die deaktivierten Benutzer zugreifen?

Deaktivierte Benutzer hatten möglicherweise Zugang zu den Daten, auf die auch der benutzerdefinierte Bot zugreifen konnte. Wir möchten allerdings festhalten, dass wir trotz der technischen Möglichkeit des Zugangs keinen Grund zur Annahme haben, dass jemand sich durch diese Umstände eine Vorteil verschafft hat, um Nachrichten zu lesen, zu denen er anderenfalls keinen Zugang gehabt hätte (oder dass dies auch nur jemandem bewusst war). Allerdings kann das nicht sicher ausgeschlossen werden.

 

Welche Art von Richtlinien hat Slack, um die Sicherheit von Integrationen, einschließlich Bots, zu kontrollieren?

Für Apps aus dem App-Verzeichnis haben wir ein Support-Team und einen Policy Lead, die zusammen an der Überprüfung arbeiten. Da das noch in der frühen Phase vor der Aufnahme einer App ins Verzeichnis passiert, testen wir die Apps und überprüfen ihren OAuth-Bereich. Unsere Benutzer können Apps aus dem App-Verzeichnis auch melden, wenn es Schwierigkeiten oder Bedenken gibt.

Für benutzerdefinierte Bots haben wir das Problem behoben, dass deaktivierte Benutzer möglicherweise Zugang durch nicht korrekt deaktivierte benutzerdefinierte Bots hatten. Als weitere Sicherheitsmaßnahme können Workspace-Administratoren ihre Einstellungen ändern, um einzuschränken, welche Benutzer benutzerdefinierte Bots zu ihrem Workspace hinzufügen können.

Ähnliche Artikel

Zuletzt angesehene Artikel