Mise à jour:Slack a fait la déclaration suivante :
Lorsque nous avons pris connaissance du rapport, nous avons lancé une enquête sur le scénario décrit dans lequel, dans des circonstances très limitées et spécifiques, un acteur malveillant disposant d'un compte existant dans le même espace de travail Slack pourrait hameçonner les utilisateurs pour obtenir certaines données. Nous avons déployé un correctif pour résoudre le problème et n'avons pour le moment aucune preuve d'un accès non autorisé aux données client.
Les mises à jour complètes sont disponibles sur http://slack.com/blog/news/slack-security-update-082124.
Slack est l'une des nombreuses plateformes à avoir intégré des fonctionnalités basées sur l'IA pour accroître la productivité. Elle offre des fonctionnalités similaires à celles d'autres services, notamment la synthèse des messages, la réponse aux questions, etc. Cependant, il semble que des tiers malveillants pourraient tromper l'IA de Slack en lui faisant révéler des informations sensibles, même celles de groupes privés.
Salesforce, propriétaire de Slack, affirme que son implémentation d'IA « utilise les données de conversation déjà présentes dans Slack pour créer une expérience d'IA intuitive et sécurisée adaptée à vous et à votre organisation ». Il agit essentiellement comme un chatbot formé sur les données des utilisateurs de Slack. Ces types d'implémentations comportent le risque d'exposer des données privées en l'absence de mesures de sécurité appropriées. Les développeurs doivent définir des méthodes qui empêchent certaines invites de renvoyer des résultats sensibles.
Les attaquants pourraient obtenir des données partagées dans des canaux privés à l'aide des invites Slack AI
Cela dit, il semble que l’IA de Slack soit vulnérable aux attaques par injection rapide. PromptArmor, une société de cybersécurité, a découvert la vulnérabilité et l’a signalée à l’équipe Salesforce. Selon le rapport, la vulnérabilité permet aux attaquants de « divulguer des clés API qu’un développeur a placées dans un canal privé (auquel l’attaquant n’a pas accès) ». Clés API, documents ou conversations, la vulnérabilité offrirait un accès à ce qui est partagé dans les canaux privés.
En théorie, cette vulnérabilité permettrait donc de lancer une attaque ciblée contre une personne en particulier. Par exemple, si un tiers malveillant souhaite accéder aux données (comme les identifiants de connexion) auxquelles une certaine personne a accès, il pourrait la convaincre, par ingénierie sociale, de les partager sur un canal privé. L'attaquant n'aurait alors qu'à utiliser certaines invites pour obtenir les données. Il n'est même pas nécessaire de faire partie d'un groupe privé.
Les attaquants pourraient même exploiter cette vulnérabilité en dissimulant des instructions dans des documents. PromptArmor indique que « si un utilisateur télécharge un PDF contenant l’une de ces instructions malveillantes (par exemple, cachée dans du texte blanc) et le charge ensuite sur Slack, les mêmes effets en aval de la chaîne d’attaque peuvent être obtenus ».
La vulnérabilité du canal privé aurait été corrigée ; le comportement du canal public est « prévu »
Selon le rapport, la vulnérabilité du canal privé a déjà été corrigée. En revanche, les canaux publics sont toujours susceptibles d’injecter des messages dans l’IA de Slack pour obtenir des informations sensibles. Cependant, il semble que le comportement dans les canaux publics ne changera pas. À cet égard, Salesforce a déclaré que « les messages publiés sur les canaux publics peuvent être recherchés et consultés par tous les membres de l’espace de travail, qu’ils soient ou non membres du canal. Il s’agit d’un comportement prévu ».
