Robots personnalisés déconnectés et la sécurité de l’équipe

Que s’est-il passé ?

Le 23 décembre 2015, nous avons déconnecté certains robots personnalisés, créés par des membres dont les comptes avaient été désactivés. Cela pour protéger le contenu des équipes Slack dans lesquelles les robots ont été activés.

Un robot personnalisé est un utilisateur non-humain ajouté à l'équipe à l’aide d’une application. Les membres de l’équipe Slack peuvent interagir avec ce robot de la même manière qu’avec un collaborateur. Le robot doit être configuré par un collaborateur, comme toute autre intégration d'équipe Slack. Lorsque le collaborateur est désactivé, le robot devrait également être désactivé et ne devrait plus avoir accès à l'équipe ni son contenu. Nous avons reçu un rapport d’erreur, ce qui nous a laissé penser que les robots n'étaient pas tous supprimés comme prévu. Nous avons recherché des activités similaires dans nos systèmes et nous nous sommes rendus compte que certains robots personnalisés restaient activés dans d’autres équipes alors qu'ils n'auraient pas dû l'être.

Bien que nous n’ayons pas de raison de penser que quelqu’un ait profité de cette situation pour lire des messages auxquels il n'aurait pas dû avoir accès (ni que quiconque soit au courant de ce problème), il nous est impossible d’exclure cette éventualité. Nous prenons la sécurité des comptes très au sérieux et avons pris des mesures très rapidement. Nous avons donc désactivé ces robots et avons informé toutes les équipes Slack concernées.

 

Combien d’équipes sont concernées ?

Environ 0,05 % des équipes Slack ont été identifiées comme ayant un robot personnalisé actif, associé à un utilisateur désactivé. Ces robots ont été désactivés et nous avons envoyé des notifications aux équipes concernées.

 

Comment avez-vous découvert l’incident ?

Nous nous sommes aperçus de cette erreur grâce à un rapport d'erreur envoyé par un utilisateur. Slack a mis en place un programme « Bug Bounty » qui encourage les utilisateurs à nous signaler toute erreur ici : https://slack.com/report-vulnerability.

 

Combien de temps vous a-t-il fallu pour informer les équipes concernées ?

Nous avons travaillé d'arrache-pied à partir du moment où nous avons été informés de ce problème, afin de déterminer quelles équipes avaient été affectées. Notre objectif a été de communiquer le plus rapidement possible tout en veillant à ce que nos faits soient exacts. Nous avons reçu un rapport d'utilisateur le vendredi 18 décembre que nous avons commencé à analyser. À la suite de cette analyse, nous avons lancé un audit des intégrations de robots personnalisés sur Slack, qui s'est terminé le lundi 21 Décembre 2015 au soir. Nous avons informé les équipes concernées dans un délai de 36 heures suivant la fin de l'audit.

 

À quel type de contenu les utilisateurs désactivés ont pu avoir accès ?

Les utilisateurs désactivés ont pu avoir accès au contenu auquel le robot avait accès. Mais il est important de noter que même si c’est techniquement possible, nous n’avons pas de raison de penser que quelqu’un ait profité de ces circonstances pour lire des messages auxquels il n'aurait pas dû avoir accès (ni que quiconque ait eu vent de cette situation). Néanmoins, il est impossible d’écarter totalement cette éventualité.

 

Quelle est la politique de Slack concernant la surveillance de la sécurité des intégrations, y compris les robots ?

Pour les applications Slack qui figurent dans la Liste des applications, notre équipe d’assistance clients travaille avec le responsable de la politique pendant le processus d’examen. Au tout début du processus, avant d’ajouter l'application à la liste, nous examinons et vérifions les champs OAuth de toutes les applis. Nos utilisateurs peuvent également signaler des applications figurant dans la liste s'ils rencontrent des difficultés ou des problèmes.

Dans le cas des robots personnalisés, nous avons traité le problème qui permettait aux utilisateurs désactivés d'accéder à des robots personnalisés qui n'avaient pas été correctement désactivés. Pour ajouter un niveau de sécurité supplémentaire, les administrateurs d’équipe peuvent modifier les paramètres de leur équipe pour décider des utilisateurs qui sont autorisés à ajouter des robots personnalisés à l’équipe.

Articles associés

Articles consultés récemment