Bots personalizados desconectados e segurança de equipe

O que aconteceu?

Em 23 de dezembro de 2015, desconectamos alguns bots personalizados criados por usuários cujas contas haviam sido desativadas anteriormente. Isso foi feito para ajudar a assegurar a segurança do conteúdo dos workspaces Slack para os quais eles haviam sido criados.

Um bot personalizado é um app que é um usuário não humano nos workspaces. Os membros podem interagir com ele da mesma maneira que fazem com outros usuários. Ele exige que um usuário humano faça a configuração como qualquer outra integração de workspace Slack. Quando esse usuário humano é desativado, o bot personalizado também deve ser eliminado e não ter mais acesso ao workspace nem ao seu conteúdo. Recebemos um relatório de bugs que nos levou a acreditar que isso não estava ocorrendo como deveria em todos os casos. Quando fizemos a auditoria dos nossos sistemas em busca de casos semelhantes, descobrimos que alguns bots em outros workspaces permaneciam ativados.

Embora não tenhamos motivos para acreditar que alguém tenha aproveitado essas circunstâncias para ler mensagens às quais, de outra forma, não teria acesso (ou até mesmo que alguém estivesse ciente disso), não é possível descartar isso totalmente. Como levamos a segurança muito a sério, agimos rapidamente para desativar esses bots e notificar todos os workspaces Slack que possam ter sido impactados.

 

Quantos workspaces foram impactados?

Identificamos que aproximadamente 0,05% dos workspaces Slack tinham um bot personalizado ativado que estava associado a um usuário desativado. Esses bots personalizados foram desativados e os workspaces afetados foram notificados.

 

Como foi descoberto o incidente?

Tomamos conhecimento do problema por meio de um bug informado por um usuário. O Slack mantém um programa que recompensa a detecção de bugs e incentiva a notificação deles aqui: https://slack.com/report-vulnerability

 

Há quanto tempo vocês conheciam esse problema antes de notificar os workspaces afetados?

Temos trabalhado com empenho desde que percebemos o problema para determinar quais workspaces foram possivelmente impactados. Nosso objetivo é o de comunicar o mais rapidamente possível enquanto asseguramos a precisão dos fatos. Recebemos o relato de um usuário na sexta-feira, 18 de dezembro, que foi investigado. Como resultado da investigação, realizamos uma auditoria das integrações de bots personalizados em todo o Slack, que foi concluída na noite de segunda-feira, 21 de dezembro de 2015. Notificamos os workspaces afetados dentro de 36 horas após a conclusão da auditoria.

 

Que tipo de conteúdo estava disponível aos usuários desativados?

Os usuários desativados podem ter tido acesso ao conteúdo ao qual o bot personalizado tinha acesso. É importante observar que, embora o acesso fosse tecnicamente possível, não temos motivos para acreditar que alguém tenha aproveitado essas circunstâncias para ler mensagens às quais, de outra forma, não teria acesso (ou até mesmo que alguém estivesse ciente disso). No entanto, é impossível descartar essa possibilidade totalmente.

 

Que tipo de políticas o Slack adota para monitorar a segurança de integrações, incluindo bots?

Para apps Slack no Diretório de apps, temos uma equipe de experiência do cliente e um líder de política que trabalham juntos no processo de revisão. Assim, antes de incluir um app no diretório, nós o testamos e avaliamos seus escopos OAuth. Nossos usuários também podem denunciar apps do Diretório de apps se identificarem algum problema.

Para bots personalizados, abordamos o problema que resultou na possibilidade de usuários desativados terem acesso por meio de bots personalizados que não foram devidamente desativados. Para segurança adicional, os administradores de workspaces podem alterar as configurações a fim de limitar quais usuários podem adicionar bots personalizados ao workspace.

Artigos relacionados

Artigos lidos recentemente