De acuerdo a un reciente informe de la compañía de seguridad Detectify, el hecho de que desarrolladores de bots para Slack hayan mantenido los tokens dentro del código de los mismos han hecho que estos se conviertan en vulnerables, y por tanto, que conversaciones, datos sensibles, además de otras informaciones, hayan podido ser accesibles por personas ajenas a las propias organizaciones.
Detectify ha informado de esta situación a la propia Slack la cual ya ha tomado cartas en el asunto revocando los tokens filtrados y advirtiendo a los propios desarrolladores de que tengan más cuidado en este asunto, tratando de situar los tokens al mismo nivel de importancia que las contraseñas.
Además, Slack también ha enviado notificaciones a usuarios y a equipos que hayan podido ser afectados por esta situación. Y es que estos tokens, debido a su formato, pueden ser fácilmente accesibles a través de las plataformas en la que se exponen códigos públicamente como pueda ser la propia GitHub.
En este sentido, investigadores de la compañía de seguridad han detectado más de 1.500 tokens pertenecientes a distintas compañías e instituciones de diferentes tamaños, aunque tanto ni la compañía de seguridad ni la propia Slack han querido señalar los nombres de las mismas públicamente.
Desde Slack se incidirá en este aspecto tanto en la documento como en las comunicaciones que ofrecen a los desarrolladores.