Selon un article du Wall Street Journal, les communications internes de Walt Disney sur Slack ont fait l'objet d'une fuite en ligne, exposant des informations sensibles sur les campagnes publicitaires, la technologie des studios et les entretiens des candidats. Le groupe de pirates informatiques NullBulge a revendiqué la responsabilité de l’attaque, déclarant, dans un billet de blog, qu'il avait publié plus d'un téraoctet de données provenant des canaux Slack de Disney, dont du code informatique et des informations sur des projets confidentiels. « Les données divulguées remontent au moins à 2019 et révèlent des échanges sur la gestion du site web de l'entreprise Disney, le développement de logiciels et l'évaluation des candidats à l'emploi », a indiqué le WSJ.
Spéculations sur la méthode
Les experts en cybersécurité ont souligné que, lors d'incidents récents, les pirates avaient pénétré dans les comptes Slack en exploitant des clés API volées ou fuitées. « Les développeurs intègrent souvent Slack dans leurs outils d'automatisation et, ce faisant, laissent parfois échapper accidentellement ces clés sur des sites de partage de code comme GitHub ou des plateformes d'API comme Postman », a déclaré Rahul Sasi, CEO de CloudSEK. « Par exemple, dans la fuite de Disney, les pirates ont pu avoir accès à des salons de discussion publics parce que, par défaut, les clés d'API de Slack ont généralement accès aux salons publics de Slack ».
D'autres ont ajouté que, même s'il était trop tôt pour expliquer pourquoi une violation aussi massive avait pu se produire, il y a peu de chance que des facteurs courants comme la faiblesse des mots de passe, le phishing et l'ingénierie sociale aient pu compromettre de multiples canaux Slack. « La cause la plus probable pourrait être une mauvaise configuration de la sécurité ou des faiblesses dans les diverses intégrations de tiers permises par Slack pour étendre les fonctionnalités », a avancé Chandrasekhar Bilugu, directeur technique de SureShield. « Quelle que soit la raison, les attaquants semblent avoir exploité la grande quantité de données stockées indéfiniment par la politique de stockage et de conservation des données de Slack. »
Les stratégies d'atténuation en question
L'incident met en évidence la nécessité de renforcer la sécurité des outils de collaboration sur le lieu de travail et d'améliorer les technologies de surveillance et de détection des menaces afin de prévenir les violations de données de grande ampleur. « Les entreprises peuvent, avec des outils d'analyse du comportement, établir des comportements de référence sur les utilisateurs et les systèmes », a rappelé M. Bilugu. « Grâce à une surveillance continue, les écarts par rapport aux activités normales peuvent être signalés et permettre de détecter d'éventuelles exfiltrations de données et l'accès non autorisé à des informations sensibles. Les entreprises peuvent s'appuyer sur des solutions de protection contre la perte de données (Data Loss Prevention, DLP) pour empêcher le transfert non autorisé de données sensibles en dehors du réseau de l'entreprise ».
Ces solutions utilisent l'inspection du contenu et l'analyse contextuelle pour identifier, surveiller et protéger les données sensibles, y compris le chiffrement et l'application de politiques. « Avec l'adoption croissante des environnements cloud, les entreprises devraient envisager des solutions avancées de surveillance de la sécurité dans le cloud qui offrent une visibilité sur l'infrastructure, les applications et les données basées sur le cloud », a préconisé M. Bilugu. « Ces outils offrent une surveillance en temps réel et une détection des menaces adaptées aux environnements cloud et peuvent aider à identifier les violations de données potentielles et l'exfiltration dans les systèmes basés dans le cloud. »