对 Webhooks 的管理不够严谨

随着远程工作的增加，聊天协作平台和 ChatOps 的采用也在增加。这些平台通常提供Webhook(网络挂钩)作为自动发送消息和通知的简单方式，但我们关注到一个令人担忧的趋势： 对Webhooks的管理不够严谨 —将它们视为配置而不是秘密或凭据。这可能会导致钓鱼攻击和内部信息泄露。

Webhook 是提供对内部空间的特权访问的凭据，可能包含可以轻松提取和直接使用的 API 密钥。不将它们视为密钥会导致钓鱼攻击的发生。在 Git 仓库中的Webhook可以轻松提取并用于发送有效的欺诈信息，用户可能没有任何身份验证的方式。为了缓解这种威胁，处理Webhook的团队需要改变他们的习惯，并将Webhook视为敏感凭据。软件开发人员与 ChatOps 平台构建集成必须注意到这种风险，确保这些Webhook具备适当的安全措施。