开发人员在GitHub上泄漏稀释令牌，将敏感的业务数据置于风险

来自数百家公司的开发人员包括在GitHub上的公共项目中为他们的Slack账户提供了访问令牌，使他们的团队“以风险为风险的内部聊天和其他数据。

由于多功能性，Slack已成为公司使用的最受欢迎的合作和内部通信工具之一。该平台的API允许用户开发可以在Slack通道中直接从外部服务接收命令或从外部服务发布内容的机器人，使其易于自动化各种任务。

许多开发人员发布了他们的Slack Bots的代码 - 其中一些是小型个人项目 - 在GitHub上，但无法删除机器人“访问令牌。一些开发人员甚至包括与代码中的自己的帐户相关联的私有令牌。

这样的令牌可以提供对聊天，文件，私人消息和其他敏感数据的访问，其中包括这些开发人员或机器人是成员的休闲团队中。

来自网站安全公司的研究人员在Github上发现了1,500多个Slack代币，其中一些令牌提供支付提供商，互联网服务提供商，学校，广告代理商，报纸和医疗保健提供者的团队。

使用这些代币，研究人员获得了畅销团队的访问，并找到了数据库凭据，敏感的私人邮件，包含密码的文件，以及登录到连续集成平台和内部服务。

“我们还从内部沟通团队内部沟通中得出结论，即人们往往与经过凭证一般的凭证真的邋and，”侦查研究人员在博客岗位中说。

这不是第一个在GitHub上托管的项目中暴露的敏感访问令牌。2014年，一名研究人员发现了亚马逊Web服务的几乎10,000个访问键，并在GitHub上的公开访问代码内的开发人员留下了弹性计算云。

其他研究人员发现了用于千万移动应用程序的后端数据库和服务的凭据，可以轻松解开和检查。

“永远不要在代码中提交凭证，”侦探研究人员说。“你应该做的第一件事是在文件中创建环境变量，并从[]开始，忽略代码存储库中的该文件。”

Slack允许团队所有者限制创建应用程序和自定义集成，以仅选择成员，而不是所有这些。