Vaulted
Diperbarui

Jangan Pernah Bagikan Kata Sandi di Slack: Risiko & Alternatif yang Lebih Aman

Oleh

Berbagi kata sandi di Slack adalah risiko keamanan karena Slack menyimpan pesan tanpa batas waktu, membuatnya dapat dicari oleh admin workspace, dan mengeksposnya ke integrasi aplikasi pihak ketiga. Gunakan tautan terenkripsi yang menghancurkan diri sendiri sebagai gantinya — alat seperti Vaulted mengenkripsi kredensial di browsermu sebelum apa pun dikirim.

Menurut Verizon 2025 DBIR, 22% pelanggaran data melibatkan kredensial yang disusupi sebagai vektor serangan awal. Dan menurut riset Beyond Identity, lebih dari 41% karyawan pernah berbagi kata sandi kerja — sering kali melalui saluran yang tidak aman seperti chat dan email.

Apa yang sebenarnya terjadi pada kata sandi itu

Ketika kamu menempel kredensial di Slack, tidak hanya sampai ke orang yang dituju. Itu menjadi data yang Slack simpan, indeks, dan pertahankan — sering kali lama setelah kamu melupakannya.

Slack menyimpan pesan di server mereka. Di paket berbayar, admin workspace bisa mengonfigurasi kebijakan retensi, tapi banyak yang membiarkan default: simpan segalanya, selamanya. Di Enterprise Grid, organisasi dapat mengekspor dan mencari seluruh riwayat setiap DM dan channel — termasuk pesan antar pengguna individu.

Pesan Slack bisa dicari. Siapa pun dengan izin yang tepat bisa mencari kata kunci di seluruh workspace. Pencarian "password" atau "API key" di sebagian besar workspace akan memunculkan hasil yang membuat auditor keamanan bergidik.

Aplikasi pihak ketiga bisa membaca pesan. Setiap aplikasi Slack dengan OAuth scope yang tepat bisa mengakses riwayat pesan. Bot produktivitas yang dipasang timmu tahun lalu? Mungkin punya akses baca ke channel dan DM. Kamu tidak hanya mempercayai keamanan Slack, tapi juga keamanan setiap integrasi yang terhubung ke workspacemu.

Pesan bertahan setelah seseorang keluar. Ketika seseorang meninggalkan perusahaan, pesan Slack mereka tetap ada. DM berisi kata sandi database itu? Masih ada di sana, bisa dibaca oleh admin, bahkan setelah akun orang tersebut dinonaktifkan.

Menurut laporan State of Secrets Sprawl 2025 dari GitGuardian, 2,4% channel Slack perusahaan mengandung rahasia yang bocor — dan IBM Cost of a Data Breach Report 2025 menemukan bahwa rata-rata biaya pelanggaran data mencapai $4,44 juta secara global.

Masalah kepatuhan

Jika perusahaanmu sedang mengejar kepatuhan SOC 2, ISO 27001, atau HIPAA, berbagi kredensial di Slack adalah temuan yang menunggu untuk terjadi.

Auditor secara khusus menanyakan bagaimana timmu mentransmisikan kredensial sensitif secara internal. "Kami menempelkannya di Slack" bukan jawaban yang mereka cari — dan itu bisa menunda atau memblokir sertifikasimu.

SOC 2 Trust Services Criteria mewajibkan kontrol atas cara data sensitif ditransmisikan. Tautan yang menghancurkan diri sendiri dengan batas penayangan dan enkripsi memenuhi kontrol tersebut. Pesan Slack tidak.

Apa yang harus dilakukan sebagai gantinya

Solusinya sederhana: enkripsi kredensial sebelum meninggalkan perangkatmu, bagikan tautan yang menghancurkan diri sendiri setelah dibuka.

Dari browser

  1. Buka vaulted.fyi
  2. Tempel kata sandi atau kredensial
  3. Atur agar kedaluwarsa setelah 1 kali penayangan
  4. Kirim tautannya di Slack (atau di mana pun)

Kredensial dienkripsi dengan AES-256-GCM di browsermu menggunakan enkripsi sisi klien. Kunci dekripsi hanya ada di URL fragment — tidak pernah sampai ke server. Setelah rekan kerjamu membuka tautannya, rahasia itu dihapus secara permanen.

Sekarang ketika seseorang mencari "password" di Slack, mereka akan menemukan tautan mati, bukan kredensial aktif.

Dari terminal

Jika kamu lebih suka command line, Vaulted CLI melakukan hal yang sama:

npx vaulted-cli "staging-db-password" --views 1 --expires 1h

Pipe, skrip, alias. Enkripsi end-to-end yang sama, tautan yang menghancurkan diri sendiri yang sama.

Dalam workflow CI/CD

Berbagi kredensial antar workflow GitHub Actions? Vaulted GitHub Action juga menangani itu:

- uses: vaulted-fyi/share-secret@v1
  with:
    secret: ${{ secrets.DEPLOY_KEY }}
    views: 1
    expires: 1h

Aturan singkat untuk timmu

  1. Jangan pernah menempel kredensial langsung ke aplikasi chat apa pun — Slack, Teams, Discord, tidak ada yang aman
  2. Gunakan tautan yang menghancurkan diri sendiri — Satu kali penayangan, kedaluwarsa singkat, selalu
  3. Tambahkan passphrase untuk kredensial sensitif — Bagikan melalui saluran terpisah (telepon, langsung)
  4. Rotasi kredensial setelah berbagi — Anggap setiap serah terima sebagai potensi eksposur
  5. Tetapkan kebijakan tim — Jadikan berbagi terenkripsi sebagai default, bukan pengecualian

Kata sandi di Slack terasa tidak berbahaya saat itu. Tapi itu bisa dicari, permanen, dan hanya selangkah dari integrasi yang salah dikonfigurasi untuk terekspos.

Bagikan dengan aman sebagai gantinya — hanya butuh tiga detik yang sama.

Terkait