[[{"content_id":436393,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"فاش شدن توکن امنیتی Slack در Github","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"توسعه&zwnj;دهندگان ندانسته اطلاعات حساس خود و سازمانشان را با استفاده از توکن&zwnj;های دسترسی Slack به Github در معرض دید قرار می&zwnj;دهند.\r\n\r\n\r\n\r\nبه گزارش واحد امنیت سایبربان؛Slack&nbsp;که یک ابزار همکاری تیمی مبتنی بر فضای ابر است، به توسعه&zwnj;دهندگان اجازه می&zwnj;دهد تا بات&zwnj;هایی بسازند و برخی از کارهای خود را به&zwnj;صورت خودکار انجام دهند. برای مثال، بات&zwnj;هایی برای مدیریت پروژه، انجام کارهای خارج از دفتر، بات&zwnj;های بازی و حتی بات&zwnj;هایی برای یادآوری ورزش کردن نیز وجود دارند.&nbsp;\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nدر بسیاری از موارد، این بات&zwnj;ها به&zwnj;عنوان پروژه&zwnj;های تفریح و سرگرمی ایجاد می&zwnj;شوند و توسعه&zwnj;دهندگان متوجه نمی&zwnj;شوند که این کدها شامل توکن احراز هویت برای حساب&zwnj;های&nbsp;Slack&nbsp;هستند. با به اشتراک گذاشتن پروژه&zwnj;های خود در&nbsp;Github، توسعه&zwnj;دهندگان به دیگران اجازه می&zwnj;دهند تا این توکن&zwnj;ها را رونوشت کرده و از آن&zwnj;ها برای دسترسی به فایل&zwnj;ها و گفتگوها استفاده کنند.&nbsp;\r\n\r\nیک جستجو در&nbsp;Github&nbsp;که به&zwnj;وسیله شرکت امنیتی&nbsp;Detectify&nbsp;&nbsp;انجام&zwnj;شده است، ۱۵۰۰ توکن را یافته که می&zwnj;توان از آن&lrm;ها به&zwnj;صورت بالقوه برای دسترسی به داده&zwnj;های حساس استفاده کرد که این داده&zwnj;های حساس &nbsp;شامل توکن&zwnj;های خصوصی&nbsp;xoxp&nbsp;و توکن&zwnj;های بات&zwnj;های سفارشی&nbsp;xoxb&nbsp;است.&nbsp;\r\n\r\nدریکی از پست&zwnj;های وبلاگ این شرکت آمده است: &laquo;این توکن&zwnj;ها متعلق به کاربران مختلف و شرکت&zwnj;های متعددی هستند؛ در میان آن&zwnj;ها می&zwnj;توان شرکت&zwnj;هایی در زمره ۵۰۰ شرکت برتر فوربز&nbsp;Forbes، ارائه&zwnj;دهندگان خدمات پرداخت، خدمات دهندگان متعدد اینترنتی و ارائه&zwnj;دهندگان خدمات پزشکی را مشاهده کرد. همچین سازمان&zwnj;های تبلیغاتی مشهور که می&zwnj;خواهند نشان دهند در داخل چه&zwnj;کاری انجام می&zwnj;دهند، کلاس&zwnj;های دانشگاهی که برخی از آن&lrm;ها بهترین آموزشگاه&zwnj;های جهان هستند. روزنامه&zwnj;هایی که بات&zwnj;های خود را به&zwnj;عنوان بخشی از فعالیت خود منتشر می&zwnj;کنند نیز در زمره آن&lrm;ها هستند و این فهرست می&zwnj;تواند فهرستی طولانی باشد&raquo;.&nbsp;\r\n\r\nبر اساس گفته&zwnj;های محققان،&zwnj; توکن&zwnj;هایی که آن&lrm;ها در&nbsp;Github&nbsp;پیداکرده&zwnj;اند دسترسی به اعتبارنامه&zwnj;های پایگاه&zwnj;های&zwnj; داده، ورود به سرویس&zwnj;های داخلی و پیام&zwnj;های خصوصی را میسر می&zwnj;سازند.&nbsp;\r\n\r\nکارشناسان هشدار می&zwnj;دهند: &laquo;با استفاده از این توکن&zwnj;ها، ممکن است بتوان فعالیت&zwnj;های یک شرکت را شنود کرد. افرادی از خارج می&zwnj;توانند به&zwnj;سادگی به مکالمات داخلی شرکت دسترسی داشته باشند، فایل&zwnj;ها و پیام&zwnj;های مستقیم و حتی رمزهای عبور را -درصورتی&zwnj;که بر روی&nbsp;Slack&nbsp;به اشتراک گذاشته&zwnj;شده باشند- ببینند&raquo;.&nbsp;\r\n\r\nپس&zwnj;ازاینکه در اواخر ماه مارس&nbsp;Detectify&nbsp;به آن&zwnj;ها اعلام کرد،&nbsp;Slack&nbsp;توکن&zwnj;های به خطر افتاده را باطل کرد و به تیم&zwnj;ها و کاربرانی که در معرض خطر بودند اطلاع داد. این شرکت می&zwnj;گوید که به دنبال توکن&zwnj;هایی است که در معرض عموم قرارگرفته&zwnj;اند و به همه مشتریانی که درخطر قرار دارند اطلاع خواهد داد.&nbsp;\r\n\r\nمحققان اشاره&zwnj;کرده&zwnj;اند که ایجاد یک توکن که بتواند دسترسی کامل را مهیا کند، بسیار آسان است، اما آنچه دشوار است ساخت توکنی است که بتوان آن را محدود کرد. هنگامی&zwnj;که توکن&zwnj;های خصوصی ایجاد می&zwnj;شوند،&nbsp;Slack&nbsp;به کاربران اطلاع می&zwnj;دهد که آن&lrm;ها باید توکن خود به&zwnj;عنوان یک رمز عبور تلقی کنند. بااین&zwnj;حال،&zwnj; بسیاری از کاربرانی که توسط&nbsp;Detectify&nbsp;خبردار شدند، گفته&zwnj;اند که آن&zwnj;ها چیزی در مورد خطر مربوط به نشت اطلاعات توکن&zwnj;ها نمی&zwnj;دانسته&zwnj;اند.&nbsp;\r\n\r\nاین اولین باری نیست که داده&zwnj;های حساس در&nbsp;Github&nbsp;پیداشده&zwnj;اند. کمی پس&zwnj;ازاینکه جستجوی پیشرفته در سال ۲۰۱۳ ارائه شد، کارشناسان هشدار دادند که این قابلیت، کار را برای برملا کردن رمزهای عبور، کلیدهای رمزگشایی و سایر اطلاعات حساس دیگر در کدهای متن&lrm;باز آسان می&zwnj;کند.&nbsp;\r\n\r\nیک سال بعد، محققان گزارش داده&zwnj;اند که مهاجمان به گواهی&zwnj;نامه&zwnj;های&nbsp;AWS&nbsp;موجود در&nbsp;Github&nbsp;برای استفاده در استخراج بیت&zwnj;کوین دستبرد زده&zwnj;اند.&nbsp;\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمنبع:&nbsp;\r\n\r\n\r\nnews.asis.io","content_html":"<h1>توسعه‌دهندگان ندانسته اطلاعات حساس خود و سازمانشان را با استفاده از توکن‌های دسترسی Slack به Github در معرض دید قرار می‌دهند.<\/h1>\n\n<div class=\"field field-name-field-news-img field-type-image field-label-hidden\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-items\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-item even\" style=\"border:0px;margin:0px;padding:0px;\"><span style=\"background-color:rgb(255,255,255);color:rgb(51,51,51);font-family:bbcnassim, arial, verdana, geneva, helvetica, sans-serif;font-size:18px;line-height:1.5em;text-align:justify;\">به گزارش واحد امنیت سایبربان؛<\/span><span dir=\"ltr\" style=\"background-color:rgb(255,255,255);color:rgb(51,51,51);font-family:bbcnassim, arial, verdana, geneva, helvetica, sans-serif;font-size:18px;line-height:1.5em;text-align:justify;\">Slack<\/span><span style=\"background-color:rgb(255,255,255);color:rgb(51,51,51);font-family:bbcnassim, arial, verdana, geneva, helvetica, sans-serif;font-size:18px;line-height:1.5em;text-align:justify;\"> که یک ابزار همکاری تیمی مبتنی بر فضای ابر است، به توسعه‌دهندگان اجازه می‌دهد تا بات‌هایی بسازند و برخی از کارهای خود را به‌صورت خودکار انجام دهند. برای مثال، بات‌هایی برای مدیریت پروژه، انجام کارهای خارج از دفتر، بات‌های بازی و حتی بات‌هایی برای یادآوری ورزش کردن نیز وجود دارند. <\/span><\/div>\n<\/div>\n<\/div>\n\n<div class=\"body-news\" style=\"border:0px;font-size:18px;margin:44px 0px 0px;padding:0px;font-family:BBCNassim, Arial, Verdana, Geneva, Helvetica, sans-serif;text-align:justify;line-height:1.5em;float:none;clear:both;color:rgb(51,51,51);background-color:rgb(255,255,255);\">\n<div class=\"field field-name-body field-type-text-with-summary field-label-hidden\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-items\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-item even\" style=\"border:0px;margin:0px;padding:0px;\">\n<p dir=\"rtl\">در بسیاری از موارد، این بات‌ها به‌عنوان پروژه‌های تفریح و سرگرمی ایجاد می‌شوند و توسعه‌دهندگان متوجه نمی‌شوند که این کدها شامل توکن احراز هویت برای حساب‌های <span dir=\"ltr\">Slack<\/span> هستند. با به اشتراک گذاشتن پروژه‌های خود در <span dir=\"ltr\">Github<\/span>، توسعه‌دهندگان به دیگران اجازه می‌دهند تا این توکن‌ها را رونوشت کرده و از آن‌ها برای دسترسی به فایل‌ها و گفتگوها استفاده کنند. <\/p>\n\n<p dir=\"rtl\">یک جستجو در <span dir=\"ltr\">Github<\/span> که به‌وسیله شرکت امنیتی <span dir=\"ltr\">Detectify<\/span>  انجام‌شده است، ۱۵۰۰ توکن را یافته که می‌توان از آن<span dir=\"ltr\">‎<\/span>ها به‌صورت بالقوه برای دسترسی به داده‌های حساس استفاده کرد که این داده‌های حساس  شامل توکن‌های خصوصی <span dir=\"ltr\">xoxp<\/span> و توکن‌های بات‌های سفارشی <span dir=\"ltr\">xoxb<\/span> است. <\/p>\n\n<p dir=\"rtl\">دریکی از پست‌های وبلاگ این شرکت آمده است: «این توکن‌ها متعلق به کاربران مختلف و شرکت‌های متعددی هستند؛ در میان آن‌ها می‌توان شرکت‌هایی در زمره ۵۰۰ شرکت برتر فوربز <span dir=\"ltr\">Forbes<\/span>، ارائه‌دهندگان خدمات پرداخت، خدمات دهندگان متعدد اینترنتی و ارائه‌دهندگان خدمات پزشکی را مشاهده کرد. همچین سازمان‌های تبلیغاتی مشهور که می‌خواهند نشان دهند در داخل چه‌کاری انجام می‌دهند، کلاس‌های دانشگاهی که برخی از آن<span dir=\"ltr\">‎<\/span>ها بهترین آموزشگاه‌های جهان هستند. روزنامه‌هایی که بات‌های خود را به‌عنوان بخشی از فعالیت خود منتشر می‌کنند نیز در زمره آن<span dir=\"ltr\">‎<\/span>ها هستند و این فهرست می‌تواند فهرستی طولانی باشد». <\/p>\n\n<p dir=\"rtl\">بر اساس گفته‌های محققان،‌ توکن‌هایی که آن<span dir=\"ltr\">‎<\/span>ها در <span dir=\"ltr\">Github<\/span> پیداکرده‌اند دسترسی به اعتبارنامه‌های پایگاه‌های‌ داده، ورود به سرویس‌های داخلی و پیام‌های خصوصی را میسر می‌سازند. <\/p>\n\n<p dir=\"rtl\">کارشناسان هشدار می‌دهند: «با استفاده از این توکن‌ها، ممکن است بتوان فعالیت‌های یک شرکت را شنود کرد. افرادی از خارج می‌توانند به‌سادگی به مکالمات داخلی شرکت دسترسی داشته باشند، فایل‌ها و پیام‌های مستقیم و حتی رمزهای عبور را -درصورتی‌که بر روی <span dir=\"ltr\">Slack<\/span> به اشتراک گذاشته‌شده باشند- ببینند». <\/p>\n\n<p dir=\"rtl\">پس‌ازاینکه در اواخر ماه مارس <span dir=\"ltr\">Detectify<\/span> به آن‌ها اعلام کرد، <span dir=\"ltr\">Slack<\/span> توکن‌های به خطر افتاده را باطل کرد و به تیم‌ها و کاربرانی که در معرض خطر بودند اطلاع داد. این شرکت می‌گوید که به دنبال توکن‌هایی است که در معرض عموم قرارگرفته‌اند و به همه مشتریانی که درخطر قرار دارند اطلاع خواهد داد. <\/p>\n\n<p dir=\"rtl\">محققان اشاره‌کرده‌اند که ایجاد یک توکن که بتواند دسترسی کامل را مهیا کند، بسیار آسان است، اما آنچه دشوار است ساخت توکنی است که بتوان آن را محدود کرد. هنگامی‌که توکن‌های خصوصی ایجاد می‌شوند، <span dir=\"ltr\">Slack<\/span> به کاربران اطلاع می‌دهد که آن<span dir=\"ltr\">‎<\/span>ها باید توکن خود به‌عنوان یک رمز عبور تلقی کنند. بااین‌حال،‌ بسیاری از کاربرانی که توسط <span dir=\"ltr\">Detectify<\/span> خبردار شدند، گفته‌اند که آن‌ها چیزی در مورد خطر مربوط به نشت اطلاعات توکن‌ها نمی‌دانسته‌اند. <\/p>\n\n<p dir=\"rtl\">این اولین باری نیست که داده‌های حساس در <span dir=\"ltr\">Github<\/span> پیداشده‌اند. کمی پس‌ازاینکه جستجوی پیشرفته در سال ۲۰۱۳ ارائه شد، کارشناسان هشدار دادند که این قابلیت، کار را برای برملا کردن رمزهای عبور، کلیدهای رمزگشایی و سایر اطلاعات حساس دیگر در کدهای متن<span dir=\"ltr\">‎<\/span>باز آسان می‌کند. <\/p>\n\n<p dir=\"rtl\">یک سال بعد، محققان گزارش داده‌اند که مهاجمان به گواهی‌نامه‌های <span dir=\"ltr\">AWS<\/span> موجود در <span dir=\"ltr\">Github<\/span> برای استفاده در استخراج بیت‌کوین دستبرد زده‌اند. <\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n<div class=\"resours\" style=\"border:0px;font-size:16px;margin:0px;padding:0px;font-family:BBCNassim, Arial, Verdana, Geneva, Helvetica, sans-serif;color:rgb(51,51,51);line-height:27.2px;text-align:justify;background-color:rgb(255,255,255);\">\n<div class=\"field field-name-field-resourse field-type-text field-label-inline clearfix\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-label\" style=\"border:0px;margin:0px;padding:0px;font-weight:bold;float:right;\">منبع: <\/div>\n\n<div class=\"field-items\" style=\"border:0px;margin:0px;padding:0px;float:right;\">\n<div class=\"field-item even\" style=\"border:0px;margin:0px;padding:0px;\">news.asis.io<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-05-04 11:26:23","content_date_event":"2016-05-04 11:26:23","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-05-04 11:28:23","content_date_register":"2016-05-04 11:28:23","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201605\/37965_3839162292_150_104.webp","300":".\/cache\/184\/attach\/201605\/37965_3839162292_260_180.webp","400":".\/cache\/184\/attach\/201605\/37965_3839162292_260_180.webp","600":".\/cache\/184\/attach\/201605\/37965_3839162292_260_180.webp","900":".\/cache\/184\/attach\/201605\/37965_3839162292_260_180.webp","1200":".\/cache\/184\/attach\/201605\/37965_3839162292_260_180.webp"},"ext":"png","file_media":1,"token":3839162292,"files":{"original":{"url":".\/file\/184\/attach\/201605\/37965_3839162292.png","width":260,"height":180,"size":0}}}]}]]