Vaulted
Atualizado

Nunca compartilhe senhas no Slack: riscos e alternativas

Por

Compartilhar senhas no Slack é um risco de segurança porque o Slack retém as mensagens indefinidamente, faz com que elas sejam pesquisáveis pelos administradores do workspace e as expõe a integrações de aplicativos de terceiros. Use links que se autodestroem e criptografados em vez disso: ferramentas como o Vaulted criptografam as credenciais no seu navegador antes de enviar qualquer coisa.

De acordo com o DBIR 2025 da Verizon, 22% das violações de dados envolveram credenciais comprometidas como vetor de ataque inicial. E, segundo uma pesquisa da Beyond Identity, mais de 41% dos funcionários já compartilharam senhas do trabalho, muitas vezes por canais inseguros como o chat e o e-mail.

O que realmente acontece com aquela senha

Quando você cola uma credencial no Slack, ela não chega apenas à outra pessoa. Ela se torna um dado que o Slack armazena, indexa e retém, muitas vezes muito depois de você ter se esquecido dela.

O Slack retém as mensagens em seus servidores. Nos planos pagos, os administradores do workspace podem configurar políticas de retenção, mas muitos deixam a opção padrão: guardar tudo, para sempre. No Enterprise Grid, as organizações podem exportar e pesquisar todo o histórico de cada DM e canal, incluindo mensagens entre usuários individuais.

As mensagens do Slack são pesquisáveis. Qualquer pessoa com as permissões adequadas pode pesquisar palavras-chave em todo o workspace. Uma busca por "password" ou "API key" na maioria dos workspaces traria resultados que fariam um auditor de segurança estremecer.

Aplicativos de terceiros podem ler as mensagens. Todo aplicativo do Slack com os scopes de OAuth adequados pode acessar o histórico de mensagens. Aquele bot de produtividade que sua equipe instalou no ano passado? Ele pode ter acesso de leitura a canais e DMs. Você está confiando não apenas na segurança do Slack, mas na de cada integração conectada ao seu workspace.

As mensagens sobrevivem ao desligamento. Quando alguém deixa a empresa, suas mensagens do Slack permanecem. Aquela DM com a senha do banco de dados? Ela continua lá, legível pelos administradores, mesmo depois que a conta da pessoa é desativada.

De acordo com o relatório State of Secrets Sprawl 2025 da GitGuardian, 2,4% dos canais corporativos do Slack continham segredos vazados, e o Cost of a Data Breach Report 2025 da IBM constatou que o custo médio de uma violação de dados chegou a 4,44 milhões de dólares no mundo todo.

O problema de conformidade

Se a sua empresa está trabalhando para obter a conformidade com SOC 2, ISO 27001 ou HIPAA, compartilhar credenciais no Slack é um achado prestes a acontecer.

Os auditores perguntam especificamente como a sua equipe transmite credenciais sensíveis internamente. "A gente cola no Slack" não é a resposta que eles procuram, e isso pode atrasar ou bloquear a sua certificação.

Os Trust Services Criteria do SOC 2 exigem controles sobre como os dados sensíveis são transmitidos. Links que se autodestroem, com limites de visualização e criptografia, satisfazem esse controle. As mensagens do Slack não.

O que fazer em vez disso

A solução é simples: criptografe a credencial antes que ela saia do seu dispositivo e compartilhe um link que se autodestrói depois da visualização.

Do seu navegador

  1. Acesse vaulted.fyi
  2. Cole a senha ou credencial
  3. Configure para expirar após 1 visualização
  4. Envie o link no Slack (ou onde for)

A credencial é criptografada com AES-256-GCM no seu navegador usando criptografia do lado do cliente. A chave de descriptografia vive apenas no fragmento da URL: ela nunca chega ao servidor. Depois que o seu colega abre o link, o segredo é excluído permanentemente.

Agora, quando alguém pesquisar "password" no Slack, vai encontrar um link morto em vez de uma credencial viva.

Do terminal

Se você vive na linha de comando, a CLI do Vaulted faz a mesma coisa:

npx vaulted-cli "staging-db-password" --views 1 --expires 1h

Use com pipe, coloque em um script, crie um alias. A mesma criptografia de ponta a ponta, os mesmos links que se autodestroem.

Em fluxos de CI/CD

Compartilhando credenciais entre fluxos de trabalho do GitHub Actions? A GitHub Action do Vaulted também resolve isso:

- uses: vaulted-fyi/share-secret@v1
  with:
    secret: ${{ secrets.DEPLOY_KEY }}
    views: 1
    expires: 1h

Regras rápidas para a sua equipe

  1. Nunca cole credenciais diretamente em nenhum aplicativo de chat: Slack, Teams, Discord, nenhum deles
  2. Use links que se autodestroem: uma visualização, expiração curta, sempre
  3. Adicione uma frase secreta para credenciais sensíveis: compartilhe-a por um canal separado (telefone, pessoalmente)
  4. Rotacione as credenciais depois de compartilhar: trate cada repasse como uma possível exposição
  5. Defina uma política de equipe: faça do compartilhamento criptografado o padrão, não a exceção

Aquela senha no Slack parece inofensiva no momento. Mas ela é pesquisável, permanente e está a uma integração mal configurada de ser exposta.

Compartilhe com segurança em vez disso: leva os mesmos três segundos.

Relacionado