2016.04.29

“깃허브에 슬랙 액세스 토큰 수백 개 공개” 내부 데이터 위험하다…디텍티파이

Lucian Constantin | IDG News Service
깃허브에 공개된 프로젝트에 수백 명의 개발자의 슬랙 계정 액세스 토큰이 포함돼 있고 개발자 부서의 내부 대화와 많은 민감한 데이터가 쉽게 노출돼 있다는 조사 결과가 발표됐다.

웹 사이트 보안 업체 디텍티파이(Detectify)의 연구 조사 담당자들은 깃허브에서 1,500개 이상의 슬랙 액세스 토큰을 발견했고, 이 중 일부는 결제 업체, 인터넷 서비스 업체, 학교, 광고 대행사, 미디어, 병원 등 의료 서비스에서 슬랙 계정이 속한 부서 데이터 접근 권한을 지녔다고 밝혔다.

슬랙은 다양한 기능과 활용 가능성을 특징으로, 최근 기업 내 협업과 커뮤니케이션 도구로 인기가 높은 앱이다. 슬랙 API는 사용자들이 지시를 받거나 슬랙 채널 안에서 바로 외부 서비스로 콘텐츠를 발행할 수 있는 봇을 개발하는 등, 다양한 업무 자동화를 간편하게 만드는 데 쓰인다.

깃허브에서는 많은 개발자들이 슬랙 봇 코드를 업로드하고 있지만, 봇의 액세스 토큰을 회수하지는 못하고 있다. 일부 개발자는 코드 안에 자신의 개인 계정 토큰을 포함시키기도 했다. 이들 액세스 토큰은 대화, 파일, 사적인 메시지 등 개발자들이나 봇이 슬랙 내에서 부서와 공유한 민감한 데이터에 접근할 수 있어 문제가 될 수 있다.

연구원들은 해당 토큰으로 슬랙 팀 액세스 권한을 얻고 데이터베이스 인증서, 개인 메시지, 비밀번호를 포함한 파일, 내부 서비스 로그인 등을 찾을 수 있었다. 디텍티파이 연구원들은 “슬랙 팀 내 내부 커뮤니케이션을 통해, 사용자들이 인증서 관리에 매우 소홀하다는 결론을 낼 수 있었다”고 밝혔다.

깃허브 기반 프로젝트에서 중요한 액세스 토큰이 노출된 것은 이번이 처음이 아니다. 2014년 한 조사자는 깃허브에 공개된 코드에서 약 1만 개에 가까운 아마존 웹 서비스, 엘라스틱 컴퓨트 클라우드 액세스 키를 발견하기도 했다.

또, 수천 개의 모바일 앱에 하드 코딩 된 백엔드 데이터베이스와 서비스용 인증서도 발견됐다. 디텍티파이 조사자는 “절대로 코드 안에 인증서를 넣어서는 안된다”고 강조하며, “가장 먼저 해야 할 것은 파일 안에 환경 변수를 만든 후, 코드 저장소에서 그 파일을 무시하는 것”이라고 말했다. editor@itworld.co.kr  


2016.04.29

“깃허브에 슬랙 액세스 토큰 수백 개 공개” 내부 데이터 위험하다…디텍티파이

Lucian Constantin | IDG News Service
깃허브에 공개된 프로젝트에 수백 명의 개발자의 슬랙 계정 액세스 토큰이 포함돼 있고 개발자 부서의 내부 대화와 많은 민감한 데이터가 쉽게 노출돼 있다는 조사 결과가 발표됐다.

웹 사이트 보안 업체 디텍티파이(Detectify)의 연구 조사 담당자들은 깃허브에서 1,500개 이상의 슬랙 액세스 토큰을 발견했고, 이 중 일부는 결제 업체, 인터넷 서비스 업체, 학교, 광고 대행사, 미디어, 병원 등 의료 서비스에서 슬랙 계정이 속한 부서 데이터 접근 권한을 지녔다고 밝혔다.

슬랙은 다양한 기능과 활용 가능성을 특징으로, 최근 기업 내 협업과 커뮤니케이션 도구로 인기가 높은 앱이다. 슬랙 API는 사용자들이 지시를 받거나 슬랙 채널 안에서 바로 외부 서비스로 콘텐츠를 발행할 수 있는 봇을 개발하는 등, 다양한 업무 자동화를 간편하게 만드는 데 쓰인다.

깃허브에서는 많은 개발자들이 슬랙 봇 코드를 업로드하고 있지만, 봇의 액세스 토큰을 회수하지는 못하고 있다. 일부 개발자는 코드 안에 자신의 개인 계정 토큰을 포함시키기도 했다. 이들 액세스 토큰은 대화, 파일, 사적인 메시지 등 개발자들이나 봇이 슬랙 내에서 부서와 공유한 민감한 데이터에 접근할 수 있어 문제가 될 수 있다.

연구원들은 해당 토큰으로 슬랙 팀 액세스 권한을 얻고 데이터베이스 인증서, 개인 메시지, 비밀번호를 포함한 파일, 내부 서비스 로그인 등을 찾을 수 있었다. 디텍티파이 연구원들은 “슬랙 팀 내 내부 커뮤니케이션을 통해, 사용자들이 인증서 관리에 매우 소홀하다는 결론을 낼 수 있었다”고 밝혔다.

깃허브 기반 프로젝트에서 중요한 액세스 토큰이 노출된 것은 이번이 처음이 아니다. 2014년 한 조사자는 깃허브에 공개된 코드에서 약 1만 개에 가까운 아마존 웹 서비스, 엘라스틱 컴퓨트 클라우드 액세스 키를 발견하기도 했다.

또, 수천 개의 모바일 앱에 하드 코딩 된 백엔드 데이터베이스와 서비스용 인증서도 발견됐다. 디텍티파이 조사자는 “절대로 코드 안에 인증서를 넣어서는 안된다”고 강조하며, “가장 먼저 해야 할 것은 파일 안에 환경 변수를 만든 후, 코드 저장소에서 그 파일을 무시하는 것”이라고 말했다. editor@itworld.co.kr  


X