Vaulted
Aggiornato

Non condividere mai le password su Slack: rischi e alternative più sicure

Di

Condividere password su Slack è un rischio per la sicurezza perché Slack conserva i messaggi a tempo indeterminato, li rende ricercabili dagli amministratori del workspace e li espone alle integrazioni di app di terze parti. Usa invece link cifrati che si autodistruggono — strumenti come Vaulted cifrano le credenziali nel tuo browser prima che venga inviato qualsiasi dato.

Secondo il Verizon 2025 DBIR, il 22% delle violazioni di dati ha coinvolto credenziali compromesse come vettore iniziale dell'attacco. E secondo una ricerca di Beyond Identity, oltre il 41% dei dipendenti ha condiviso password aziendali — spesso attraverso canali non sicuri come chat ed email.

Cosa succede davvero a quella password

Quando incolli una credenziale in Slack, non raggiunge solo l'altra persona. Diventa un dato che Slack archivia, indicizza e conserva — spesso molto tempo dopo che l'hai dimenticata.

Slack conserva i messaggi sui propri server. Nei piani a pagamento, gli amministratori del workspace possono configurare le politiche di conservazione, ma molti lasciano l'impostazione predefinita: conservare tutto per sempre. Con Enterprise Grid, le organizzazioni possono esportare e cercare l'intera cronologia di ogni DM e canale — inclusi i messaggi tra singoli utenti.

I messaggi di Slack sono ricercabili. Chiunque abbia le autorizzazioni giuste può cercare parole chiave in tutto il workspace. Una ricerca di "password" o "API key" nella maggior parte dei workspace restituirà risultati che farebbero trasalire qualsiasi auditor della sicurezza.

Le app di terze parti possono leggere i messaggi. Ogni app Slack con i giusti OAuth scope può accedere alla cronologia dei messaggi. Quel bot per la produttività installato dal tuo team l'anno scorso? Potrebbe avere accesso in lettura a canali e DM. Non ti fidi solo della sicurezza di Slack, ma anche della sicurezza di ogni integrazione connessa al tuo workspace.

I messaggi sopravvivono all'offboarding. Quando qualcuno lascia l'azienda, i suoi messaggi Slack rimangono. Quella DM con la password del database? È ancora lì, leggibile dagli amministratori, anche dopo che l'account della persona è stato disattivato.

Secondo il State of Secrets Sprawl Report 2025 di GitGuardian, il 2,4% dei canali Slack aziendali conteneva segreti trapelati — e l'IBM Cost of a Data Breach Report 2025 ha rilevato che il costo medio di una violazione dei dati ha raggiunto i 4,44 milioni di dollari a livello globale.

Il problema della conformità

Se la tua azienda sta lavorando verso la conformità SOC 2, ISO 27001 o HIPAA, condividere credenziali su Slack è una non conformità che aspetta solo di essere scoperta.

I revisori chiedono specificamente come il tuo team trasmette le credenziali sensibili internamente. "Le incolliamo in Slack" non è la risposta che cercano — e può ritardare o bloccare la tua certificazione.

I SOC 2 Trust Services Criteria richiedono controlli sul modo in cui i dati sensibili vengono trasmessi. I link che si autodistruggono con limiti di visualizzazione e cifratura soddisfano questo requisito. I messaggi Slack no.

Cosa fare invece

La soluzione è semplice: cifra la credenziale prima che lasci il tuo dispositivo, condividi un link che si autodistrugge dopo la visualizzazione.

Dal browser

  1. Vai su vaulted.fyi
  2. Incolla la password o la credenziale
  3. Impostala per scadere dopo 1 visualizzazione
  4. Invia il link su Slack (o dove preferisci)

La credenziale viene cifrata con AES-256-GCM nel tuo browser tramite cifratura lato client. La chiave di cifratura esiste solo nel frammento URL — non raggiunge mai il server. Dopo che il tuo collega apre il link, il segreto viene eliminato definitivamente.

Ora, quando qualcuno cerca "password" su Slack, troverà un link morto invece di una credenziale attiva.

Dal terminale

Se vivi nella riga di comando, la Vaulted CLI fa la stessa cosa:

npx vaulted-cli "staging-db-password" --views 1 --expires 1h

Usala in pipe, negli script, come alias. La stessa cifratura end-to-end, gli stessi link che si autodistruggono.

Nei workflow CI/CD

Devi condividere credenziali tra workflow di GitHub Actions? La Vaulted GitHub Action gestisce anche quello:

- uses: vaulted-fyi/share-secret@v1
  with:
    secret: ${{ secrets.DEPLOY_KEY }}
    views: 1
    expires: 1h

Regole rapide per il tuo team

  1. Non incollare mai le credenziali direttamente in nessuna app di chat — Slack, Teams, Discord, nessuna di loro
  2. Usa link che si autodistruggono — Una visualizzazione, scadenza breve, sempre
  3. Aggiungi una passphrase per le credenziali sensibili — Condividila attraverso un canale separato (telefono, di persona)
  4. Ruota le credenziali dopo la condivisione — Tratta ogni passaggio come una potenziale esposizione
  5. Stabilisci una politica per il team — Rendi la condivisione cifrata il default, non l'eccezione

Quella password su Slack sembra innocua sul momento. Ma è ricercabile, permanente e a una sola integrazione mal configurata dall'essere esposta.

Condividila in modo sicuro invece — ci vogliono gli stessi tre secondi.

Correlati