Czy twoje luźne czaty są prywatne?

Co to jest Slack?

Slack to oparte na chmurze narzędzie do współpracy zespołowej, z którego codziennie korzysta około sześciu milionów ludzi. Jest to przede wszystkim platforma czatu podobna do Skype. Pozwala rozmawiać prywatnie z innymi członkami zespołu lub tworzyć bardziej otwarte „kanały” grupy i dołączać do nich z innymi członkami zespołu. Udostępnianie plików, udostępnianie ekranu oraz połączenia głosowe / wideo są wbudowane.


Więc moje rozmowy Slack są prywatne?

To skomplikowane pytanie; Zauważ, że prawie wszystkie poniższe informacje pochodzą z tego, co Slack postanowił udostępnić.

Dane są szyfrowane podczas transportu i podczas przechowywania, a Slack obsługuje teraz standardy ochrony danych HIPAA i FINRA wymagane odpowiednio przez sektor opieki zdrowotnej i usług finansowych.

Slack nie został jednak zbudowany z myślą o szyfrowaniu typu end-to-end lub kryptografii o zerowej wiedzy. Dane są szyfrowane podczas przechowywania, ale Slack przechowuje klucze szyfrowania i dlatego może uzyskać do nich dostęp. Slack jest również zastrzeżonym produktem źródłowym w chmurze, więc nie ma sposobu na niezależną kontrolę tego, co faktycznie robi oprogramowanie.

Wszystko to oznacza, że ​​musimy tylko wierzyć Slackowi, co robi z naszymi danymi.

Czy mój szef może czytać moje wiadomości??

To prawdopodobnie najbardziej palące pytanie większości pracowników! A odpowiedź brzmi ... może. Na początek wszyscy administratorzy mogą pobrać „standardowy eksport” wszystkich rozmów w kanałach publicznych. Można się tego prawdopodobnie spodziewać, ale co z prywatnymi rozmowami Direct Message (DM) z innymi członkami zespołu?

Wszystko zależy od ustawień, które wprowadził twój szef. Aby dowiedzieć się:

  1. W Slack przejdź do swojego profilu -> Profil i konto -> Ustawienia konta -> Ustawienia obszaru roboczego.

Lub po prostu odwiedź teamname.slack.com/account/team w przeglądarce.

  1. Przewiń w dół do Eksportów zgodności.

Na szczęście dla mnie mój szef nie może czytać moich prywatnych wiadomości. Uff!

Jeśli eksport zgodności jest włączony, główny właściciel twojego konta typu slack (twój szef) może pobrać plik zip zawierający wszystkie twoje prywatne rozmowy. Pamiętaj, że ta opcja nie jest domyślnie włączona i jest dostępna tylko dla bossów, którzy zapisali się do planu Slack Plus.

Nawet wtedy muszą złożyć wniosek, który musi zostać zatwierdzony przez Slack. Brak jest jednak informacji na temat kryteriów, jakie należy spełnić, aby uzyskać zgodę.

Dobrą wiadomością jest to, że jeśli eksport zgodności nie jest jeszcze włączony, twój szef nie będzie mógł podstępnie go włączyć bez Twojej wiedzy. * Jeśli funkcja eksportu zgodności jest włączona, kiedy była wcześniej wyłączona, otrzymasz powiadomienie Slackbot. Twój szef nie będzie mógł uzyskać dostępu do wiadomości wysłanych przed włączeniem eksportu zgodności.

* Aktualizacja z marca 2018 r .: zmiana zasad oznacza, że ​​w ograniczonych okolicznościach szef może mieć dostęp do prywatnych DM, nawet jeśli korzysta z planów bezpłatnych lub standardowych.

Czy pracownicy Slack mogą czytać moje wiadomości?

Pomimo długich stron z polityką prywatności i procedurami bezpieczeństwa, dokładnie to, co dane pracowników Slack mogą zobaczyć i kto je widzi, pozostaje jasne jak błoto. Slack powiedział Gizmodo prawie wszystko, czego bym się spodziewał: pracownicy mogą uzyskać dostęp do twoich wiadomości i zrobią to w nagłych wypadkach lub z innych „ważnych, uzasadnionych powodów”.

Żaden pracownik nie ma jednak „stałego dostępu” (nieograniczonego dostępu) do danych użytkowników. Szef bezpieczeństwa Slack Geoff Belknap zapewnił także Gizmodo, że:

„Jest to bardzo niewielka liczba i bardzo kontrolowana liczba osób, które mają coś, co powiedziałbym, jako zdolność do śledzenia procesu, który umieszcza ich w miejscu, w którym potencjalnie mają dostęp do danych”.

Co z nieautoryzowanym dostępem?

Slack nalega, aby dysponował zestawem protokołów, które spowodowałyby uruchomienie alarmów w przypadku nieautoryzowanej próby dostępu do danych użytkowników. Belknap stwierdził również, że „nie zbudowano celowego oprzyrządowania”, które umożliwiłoby pracownikom dostęp do określonych rozmów. Przyznał jednak, że takie narzędzie można zbudować w razie potrzeby.

Jak zauważa Nate Cardozo, starszy prokurator w Electronic Frontier Foundation (EFF):

„Slack mógł zbudować ten system w taki sposób, że nikt w firmie nie miał dostępu do danych użytkownika. Wszystko sprowadza się do: „zaufaj nam”. To samo powiedział Uber, a potem zostali złapani w spodnie w trybie Boga. Jeśli nie podasz go w e-mailu, nie wprowadzaj Slacka ”.

Czy policja może odczytać moje wiadomości??

Slack jest amerykańską firmą i dlatego musi spełniać ważne żądania informacji od amerykańskich organów ścigania. Slack twierdzi, że spełnienie takich wniosków „wymaga nakazu przeszukania wydanego przez właściwy sąd”.

Zgodnie z własnym sprawozdaniem w sprawie przejrzystości, które obejmuje wszystkie takie wnioski otrzymane od 1 maja do 31 października 2017 r., Tylko jedno żądanie spowodowało ujawnienie „danych treści”. Dane treści obejmują dane generowane przez użytkowników, takie jak wiadomości publiczne i prywatne, posty, pliki i DM.

Zwolnienie 3

Raport mówi, że Slack nie otrzymał w tym okresie listów bezpieczeństwa narodowego (NSL), ale należy zauważyć, że NSL zwykle towarzyszą rozkazy. Uniemożliwi to Slackowi ujawnienie faktu otrzymania NSL.

Jeśli Slack przekaże twoje dane policji, zazwyczaj powiadomi cię o zaistniałej sytuacji. Nie dotyczy to oczywiście, jeśli jest to prawnie zabronione. Co bardziej niepokojące, Slack nie będzie informować osób, które dopuszczają się nielegalnego zachowania lub w przypadku, gdy uważa się, że istnieje „ryzyko wyrządzenia szkody ludziom lub mieniu”.

Jednak do momentu wniesienia sprawy do sądu, kto ma powiedzieć, czy klient dopuścił się niezgodnego z prawem postępowania?

Czy hakerzy mogą czytać moje wiadomości??

Teoretycznie nie. Jak wspomniano wcześniej, wiadomości są szyfrowane zarówno w transporcie, jak i w stanie spoczynku. W praktyce Slack nie doznał jeszcze poważnego naruszenia danych. Jednak:

  • W 2014 roku badacz bezpieczeństwa Tanay Sai odkrył błąd w oprogramowaniu Slack. Dzięki temu każdy mógł zobaczyć wewnętrzne zespoły Slack firmy po prostu przez podanie fałszywego adresu e-mail dla tej firmy.
  • W 2015 r. Slack doznał czterodniowego naruszenia bezpieczeństwa, w którym hakerzy mieli dostęp do danych konta i haseł użytkowników. Na szczęście dane te zostały zaszyfrowane przy użyciu funkcji haszującej hasło bcrypt. To sprawia, że ​​jest bardzo mało prawdopodobne (do tego stopnia, że ​​niemożliwe), aby hakerzy mogli masowo konwertować hashowane hasła na zwykłe teksty. Nadal jednak możliwe jest złamanie poszczególnych skrótów haseł. Po tym incydencie Slack zaczął oferować (opcjonalnie) dwa uwierzytelnianie czynnikowe (2FA) dla kont.
  • W 2017 r. Slack ujawnił odkrycie luki w zabezpieczeniach, która może pozwolić hakerowi zalogować się do Slacka, jakby był legalnym użytkownikiem. Mają wtedy pełny dostęp do historii czatów grupy, kanałów i udostępnionych plików. Uważa się, że luka została załatana, zanim została wykryta i wykorzystana przez złośliwych atakujących.

Czy reklamodawcy mogą czytać moje wiadomości??

Dobre wieści tutaj - nie. Slack ma model biznesowy oparty na subskrypcji i nie zarabia na reklamach. Slack nie tylko stwierdził, że nie ma planów zmiany tej sytuacji w przyszłości, ale ma również niewielki sens biznesowy.

Ludzie mogą chcieć znosić reklamy i inne inwazje na prywatność w zamian za bezpłatną usługę w czasie wolnym (patrząc na ciebie, Facebooka i Google!). Jednak raczej nie zaakceptują tego podczas pracy, ponieważ miałoby to negatywny wpływ na wydajność.

Wniosek

Slack nie został zaprojektowany z myślą o dużej prywatności. Jeśli eksport zgodności nie został włączony, twoje czaty DM są bezpieczne od twojego szefa, ale wszystkie zakłady są wyłączone. Ogólnie rzecz biorąc, najlepiej jest myśleć o Slacku tak, jak piszesz w wiadomości e-mail - jeśli coś nie jest bezpieczne do publicznego mówienia, nie mów tego na Slacku.

Moje podziękowania dla Melanie Ehrenkranz z Gizmodo, której artykuł uznaję za wielki dług.

Zdjęcie: Giorgio Minguzzi /flickr.com/ Niektóre prawa zastrzeżone.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me