Slack Technologiesは2022年12月31日、「Slack security update」において、同年12月27日にSlackの一部のプライベートGitHubコードリポジトリが不正なアクセスを受け、ソースコードがダウンロードされたことをアナウンスした。
不正アクセスされたリポジトリには顧客データやSlackの主要なコードベースは含まれておらず、現在のところ、顧客が直接影響を受ける危険性は確認されていないという。
調査の結果、攻撃者は一部のSlack従業員のトークンを盗み、外部でホストされているGitHubリポジトリへのアクセスに悪用していたことが判明した。Slackでは盗まれたトークンを無効にした上で、顧客への潜在的な影響を調査しているが、12月31日時点では本番環境を含むSLackの他の領域、および他のSlackリソースや顧客データに対するアクセスは確認されていないという。ただし、予防措置として関連するすべての資格情報をローテーションしたとのことだ。
攻撃者が従業員のトークンを盗み出した方法については言及されていない。同社は、今回の不正アクセスがSlack固有の脆弱性によるものではないと判断しており、今後も引き続き調査と監視を続けると説明している。