Deaktivierung von benutzerdefinierten Bots und Team-Sicherheit

Was ist passiert?

Am Morgen des 23. Dezembers 2015 haben wir bestimmte benutzerdefinierte Bots deaktiviert, die von Benutzern erstellt wurden, deren Accounts zuvor deaktiviert wurden. Damit wollten wir sicherzustellen, dass die Inhalte der Slack-Teams, in denen sie aktiviert waren, auch weiterhin geschützt waren.

Ein benutzerdefinierter Bot ist eine Anwendung, die als nicht-menschlicher Benutzer in deinem Team fungiert. Mitglieder in Slack-Teams können mit ihnen genauso interagieren, wie sie das miteinander tun. Die Einrichtung dafür muss ein menschlicher Benutzer vornehmen, genauso wie bei jeder anderen Integration in einem Slack-Team. Wenn nun dieser menschliche Benutzer deaktiviert ist, sollte auch der Bot dieses Benutzers nicht mehr länger aktiv sein und keinen Zugriff mehr auf das Team und seine Inhalte haben. Wir erhielten einen Fehlerbericht (Bug Report), der uns vermuten ließ, dass dies nicht in allen Fällen passiert war, so wie es eigentlich hätte sein sollen. Als wir daraufhin unsere Systeme auf ähnliche Aktivität überprüft haben, entdeckten wir andere benutzerdefinierte Bots,die weiterhin aktiv waren, obwohl sie das nicht mehr sein sollten.

Auch wenn wir keinen Grund dazu haben, zu glauben, dass Leute diese Umstände ausgenutzt haben, um Nachrichten zu lesen, zu denen sie ansonsten keinen Zugriff mehr gehabt haben, (oder dass sich überhaupt jemand dessen bewusst war), können wir das nicht absolut ausschließen. Weil wir Sicherheit sehr ernst nehmen, haben wir diese Bots schnell deaktiviert und alle Slack-Teams, die davon betroffen waren, darüber in Kenntnis gesetzt.

 

Wie viele Teams waren davon betroffen?

Wir fanden bei 0,05 % der Slack-Teams einen aktiven, benutzerdefinierten Bot, der mit einem deaktivierten Benutzer verknüpft war. Diese Bots wurden deaktiviert und die betroffenen Teams wurden darüber informiert.

 

Wie wurde der Vorfall entdeckt?

Wir wurden durch einen Bug, den ein Benutzer gemeldet hat, darauf aufmerksam. Slack hat ein aktives Prämienprogramm, das Fehlerberichte unter https://slack.com/report-vulnerability belohnt.

 

Wie lange habt ihr von diesem Bug gewusst, bevor ihr die betroffenen Teams davon unterrichtet habt?

Seit wir darauf aufmerksam gemacht wurden, haben wir sorgfältig überprüft, welche Teams möglicherweise davon betroffen sein könnten. Wir wollten so schnell wie möglich kommunizieren und zugleich sicherstellen dass unsere Angaben auch korrekt waren. Am Freitag, dem 18. Dezember, erhielten wir abends einen Bericht von einem Benutzer und begannen mit unseren Untersuchungen. Als Ergebnis dieser Untersuchungen haben wir eine Überprüfung benutzerdefinierter Bot-Integrationen in Slack vorgenommen, die wir am Montagabend des 21. Dezembers 2015 abgeschlossen haben. Wir haben die betroffenen Teams binnen 36 Stunden nach Abschluss der Überprüfung darüber informiert.

 

Auf welche Inhalte konnten die deaktivierten Benutzer zugreifen?

Deaktivierte Benutzer hatten möglicherweise Zugang zu den Daten, auf die auch der benutzerdefinierte Bot zugreifen konnte. Wir möchten allerdings festhalten, dass wir trotz der technischen Möglichkeit des Zugangs keinen Grund zur Annahme haben, dass jemand sich durch diese Umstände eine Vorteil verschafft hat, um Nachrichten zu lesen, zu denen er anderenfalls keinen Zugang gehabt hätte (oder dass dies auch nur jemandem bewusst war). Allerdings kann das nicht sicher ausgeschlossen werden.

 

Welche Art von Richtlinien hat Slack, um die Sicherheit von Integrationen, einschließlich Bots, zu kontrollieren?

Für Apps aus dem App-Verzeichnis haben wir ein Support-Team und einen Policy Lead, die zusammen an der Überprüfung arbeiten. Da das noch in der frühen Phase vor der Aufnahme einer App ins Verzeichnis passiert, testen wir die Apps und überprüfen ihren OAuth-Bereich. Unsere Benutzer können Apps aus dem Verzeichnis auch melden, wenn es Schwierigkeiten oder Bedenken gibt.

Für benutzerdefinierte Bots haben wir das Problem behoben, dass deaktivierte Benutzer möglicherweise Zugang durch nicht korrekt deaktivierte benutzerdefinierte Bots hatten. Als weitere Sicherheitsmaßnahme können Team-Administratoren ihre Team-Einstellungen ändern, um einzuschränken, welche Benutzer benutzerdefinierte Bots zu ihrem Team hinzufügen können.

Ähnliche Artikel

Zuletzt angesehene Artikel