事故摘要

Slack 2022 安全公告說明攻擊者透過員工帳號路徑接觸內部資產,突顯企業 token 與程式碼資產的連動風險。

本案例的演示焦點:員工身分被取得後 → 內部 token / 程式碼資產的橫向擴散風險,重點在 token 範圍邊界與 audit signal 匯流的設計。其他 threat surface 由其他 case category 承擔。

攻擊路徑

  1. 先透過社交工程取得員工憑證。
  2. 進入內部工具並接觸 token 或程式碼資產。
  3. 嘗試擴大到高價值系統或資料節點。

失效控制面

  • 員工身份遭濫用後的隔離速度不足。
  • token 範圍與用途邊界定義不夠細緻。
  • 程式碼資產存取異常訊號未快速匯流。

如果 workflow 少一步會發生什麼

若少了「內部 token 快速撤銷」步驟,攻擊者會維持有效會話,讓追查與復原成本上升。

可落地的 workflow 檢查點

  • 發布前:把管理 token 分域並限制到最小權限(依用途切 audience,避免單一 token 跨多個敏感系統),mechanism 是讓單點接管不會直接通到所有資產。
  • 日常:建立 alert runbook 監控異常存取(repo 異常 clone、token 跨 IP / 跨 device 序列)。
  • 事故中:分層撤銷 token、並用 blast radius 框定影響面(前提是 token 有 inventory 可查 issuer / scope)。

從本案例到實作的 chain

本案例是事故敘事 layer,沿三步 chain 進入 implementation:

來源

來源類型可引用範圍
slack.com官方攻擊入口、影響範圍、token 處置時序
cisa.gov政府/監管跨組織 social engineering TTP
cloud.google.com技術分析UNC3944 對 SaaS / token 接管模式 telemetry