Slack 私有 GitHub 仓库被入侵，源代码泄漏

Slack 是全球最知名的通信和协作平台之一，主要是为企业/组织提供服务。2021 年 1 月 Slack 和 Salesforce 宣布达成协议，Salesforce 以约 277 亿美元的价格收购了 Slack，如今 Slack 在全球范围大约有 2000 多万用户。

前段时间正值国外的圣诞假期，只不过 Slack 的工程师们在假期应该过得十分郁闷，因为在 12 月 27 日他们的私有 GitHub 代码库遭到入侵并发生代码泄漏。

不法分子通过被盗的 "有限" 数量的 Slack 员工令牌获得了对 Slack GitHub 仓库的访问权。Slack 表示，虽然公司的一些私有代码库被入侵，但 Slack 的主要代码库和客户数据并没有受到影响。

Slack 发布的公告内容如下：

2022 年 12 月 29 日，我们被告知我们的 GitHub 账户上有可疑活动。经调查，我们发现数量有限的 Slack 员工令牌被盗，并被滥用于访问我们外部托管的 GitHub 仓库。我们的调查还显示，黑客在 12 月 27 日下载了私有代码库。下载的仓库没有包含客户数据、访问客户数据的手段或 Slack 的主要代码库。

Slack 目前已经将被盗的令牌做了失效处理，并轮换了相关密钥。Slack 也正在调查此次事件对客户的 "潜在影响"。目前没有迹象表明 Slack 包括生产在内的各种敏感环境有被访问的情况。

Slack 的安全团队同时强调到「根据目前可用的信息，未经授权的访问并不是由 Slack 固有的漏洞造成的」。

作为全球最知名的通信平台，被黑客盯上也是非常正常的一件事情。在 2015 年，Slack 受到了连续多日的网络攻击，当时黑客闯入其用户资料数据库，获取了不少用户信息。在 2020 年中期，该公司遭受了一次数据泄露，迫使它为成千上万的用户重置密码。