Robots personalizados desconectados y seguridad del equipo

¿Qué pasó?

El 23 de diciembre de 2015 desconectamos un número de robots personalizados creados por usuarios cuyas cuentas habían sido desactivadas. Lo hicimos para proteger el contenido de los espacios de trabajo de Slack en los que habían sido activados.

Un robot personalizado es una aplicación, un miembro no humano de tus espacios de trabajo. Los miembros pueden interactuar con los usuarios robots de la misma forma en que interactúan entre sí. Igual que cualquier otra integración en un espacio de Slack, los robots deben ser configurados por un usuario humano. Cuando se desactiva la cuenta del usuario humano, la del robot personalizado también debería desaparecer y dejar de tener acceso al espacio y a su contenido. Sin embargo, recibimos un informe de errores que nos hizo suponer que esto no estaba sucediendo en todos los casos. Cuando hicimos una auditoría de nuestros sistemas buscando actividades similares, descubrimos que algunos robot personalizados de otros espacios de trabajo seguían estando habilitados cuando deberían haber sido desactivados.

Si bien no hay nada que nos lleve a pensar que alguien haya aprovechado estas circunstancias y leyera mensajes a los que no debería haber tenido acceso (ni siquiera que alguien pudiera haber estado al tanto de que existía esa posibilidad), no es posible descartar al 100 % esta posibilidad. En Slack nos tomamos la seguridad de tus datos muy en serio, por lo que reaccionamos rápidamente, desactivando estos robots y avisando a todos los espacios de trabajo que se habían visto afectados.

 

¿Cuántos espacios de trabajo se vieron afectados?

Aproximadamente un 0,05 % de los espacios de Slack tenían un robot activo que aún se encontraba asociado a la cuenta de un usuario desactivado. Procedimos a desactivar estos robots personalizados y a notificar a los espacios de trabajo afectados.

 

¿Cómo se descubrió el incidente?

Nos enteramos de esta situación cuando un usuario nos informó de un error. Slack cuenta con un programa conocido como "bug bounty" que anima a los usuarios a informar de errores, en esta dirección: https://slack.com/report-vulnerability.

 

¿Cuánto se tardó en notificar a los espacios de trabajo afectados tras enterarse del problema?

Desde el momento en que nos enteramos del problema, trabajamos sin descanso para determinar qué espacios de trabajo se habían visto afectados. Nuestro objetivo ha sido comunicarnos lo más rápidamente posible, esforzándonos al máximo por proporcionar datos rigurosos. Comenzamos a investigar en cuanto recibimos el informe de errores del usuario, la tarde del viernes 18 de diciembre. Como resultado de esa investigación, comenzamos una auditoría sobre integraciones personalizadas, que terminamos la tarde del lunes 21 de diciembre de 2015. Avisamos a los espacios de trabajo afectados 36 horas después de haberla finalizado.

 

¿Qué clase de contenido estuvo accesible para los usuarios desactivados?

Los usuarios cuyas cuentas habían sido desactivadas podrían haber tenido acceso al mismo contenido al que tenía acceso el robot personalizado. Sin embargo, es importante tener en cuenta que, si bien era técnicamente posible acceder a ese contenido, no hay nada que nos lleve a pensar que alguien haya aprovechado estas circunstancias y leyera mensajes a los que no debería haber tenido acceso (ni siquiera que alguien pudiera haber estado al tanto de que existía esa posibilidad). Sin embargo, no es posible descartar al 100 % esta posibilidad.

 

¿Qué clase de políticas ha puesto en práctica Slack para monitorizar la seguridad de las integraciones, incluidos los robots?

Para las aplicaciones de Slack en el Directorio de Aplicaciones, un equipo del Departamento de Experiencia de Usuario trabaja junto a un responsable de la política de Slack en la revisión del proceso. Antes de que una aplicación llegue a formar parte del Directorio de Aplicaciones, la probamos y verificamos sus ámbitos de OAuth. Nuestros usuarios también pueden marcar aplicaciones en el Directorio ante cualquier duda o problema.

En cuanto a los robots personalizados, hemos resuelto el problema que podría haber provocado que usuarios desactivados tuvieran acceso a robots personalizados que no habían sido desconectados correctamente. Con el objetivo de ofrecer seguridad adicional, los administradores del espacio de trabajo pueden modificar los ajustes del mismo para limitar el número de usuarios que pueden añadir robots personalizados al espacio.

Artículos relacionados

Artículos vistos recientemente