Är dina slackta chattar privata?

Vad är slack?

Slack är ett molnbaserat teamsamarbetsverktyg som används av cirka sex miljoner människor dagligen. Det är främst en snabbmeddelandeplattform som liknar Skype. Det låter dig prata privat med andra gruppmedlemmar, eller skapa och gå med i mer öppna grupp "Kanaler" med andra gruppmedlemmar. Fildelning, skärmdelning och röst- / videosamtalsfunktioner är inbyggda.

Så är mina Slack-konversationer privata?

Detta är en komplicerad fråga; Observera att nästan all information nedan hämtas helt enkelt från vad Slack har valt att dela.

Data krypteras under transitering och vid lagring, och Slack stöder nu HIPAA- och FINRA-dataskyddsstandarder som krävs av hälso- och finanssektorns respektive.

Slack byggdes emellertid inte heller med kryptering från slutet till slutet eller kryptografi med nollkunskap i åtanke. Data krypteras när de lagras, men Slack håller i krypteringsnycklarna och kan därför komma åt dem. Slack är också en proprietär molnig källprodukt, så det finns inget sätt att självständigt granska vad programvaran faktiskt gör.

Allt detta betyder att vi bara måste ta Slacks ord för vad det gör med våra uppgifter.

Kan min chef läsa mina meddelanden?

Det är förmodligen de flesta anställdas mest pressande fråga! Och svaret är ... kanske. Till att börja med kan alla administratörer ladda ner en "standardexport" av alla konversationer på offentliga kanaler. Detta är förmodligen att förvänta, men hur är det med privata direktmeddelande (DM) -samtal med andra gruppmedlemmar?

Tja, det beror på vilka inställningar din chef har infört. Att få reda på:

  1. Gå till din profil i Slack -> Profil och konto -> Kontoinställningar -> Arbetsyta Inställningar.

Eller besök bara teamname.slack.com/account/team i din webbläsare.

  1. Rulla ner till efterlevnadsexport.

Lyckligtvis för mig kan min chef inte läsa mina privata meddelanden. Phew!

Om överensstämmelsexport är aktiverat, kan den primära ägaren till ditt slappa konto (din chef) ladda ner en zip-fil som innehåller alla dina privata konversationer. Observera att det här alternativet inte är aktiverat som standard och är endast tillgängligt för chefer som registrerar sig för Slack Plus-planen.

Även då måste de lämna in en ansökan som måste godkännas av Slack. Ingen information finns dock tillgänglig om vilka kriterier som måste uppfyllas för att detta godkännande ska beviljas.

Goda nyheter är att om överensstämmelsexport inte redan är aktiverat kan inte din chef snyggt aktivera dem utan att du vet. * Om funktionen för överensstämmelseexport är påslagen när den tidigare stängdes av får du ett Slackbot-meddelande. Din chef kommer inte att kunna få åtkomst till meddelanden som skickats innan Exportexport har aktiverats.

* Uppdatera mars 2018: en förändring av policyn innebär att din chef under begränsade omständigheter kan komma åt privata DM, även när du använder gratis- eller standardplanerna.

Kan slack personal läsa mina meddelanden?

Trots att de har långa sidor om sekretesspolicy och säkerhetspraxis förblir tydliga data som slack personal kan se och vem som kan se det. Slack berättade Gizmodo ganska mycket om vad jag förväntar mig: Anställda kan komma åt dina meddelanden och kommer att göra det i en nödsituation eller av andra "giltiga, motiverade skäl [.]

Ingen anställd har dock "ständig åtkomst" (obegränsad åtkomst) till användarnas data. Säkerhetschef Geoff Belknap försäkrade också Gizmodo att:

"Det är ett mycket litet antal och ett mycket kontrollerat antal människor som har vad jag skulle uttrycka som förmågan att följa en process som sätter dem på en plats som de potentiellt har tillgång till data."

Vad sägs om obehörig åtkomst?

Slack insisterar på att det har en uppsättning protokoll på plats som skulle leda till att larm utlöses om ett obehörigt försök görs för att komma åt användarnas data. Belknap uttalade också att det inte finns ”ingen avsiktlig verktyg byggd” som skulle göra det möjligt för anställda att få åtkomst till specifika konversationer. Han medgav dock att ett sådant verktyg kunde byggas vid behov.

Som Nate Cardozo konstaterar Senior Staff Advokat vid Electronic Frontier Foundation (EFF):

”Slack kunde ha byggt detta system på ett sätt som ingen inom företaget hade tillgång till användardata. Vad det kommer till är "litar på oss." Det är samma sak som Uber sa och sedan fångades de med sina byxor ner med Guds läge. Om du inte skulle skicka det i e-post, lägg inte in Slack. ”

Kan polisen läsa mina meddelanden?

Slack är ett amerikanskt företag och måste därför följa giltiga begäranden om information från amerikanska lagstiftande organ. Slack säger att efterfrågan på sådana förfrågningar "kräver en sökningsorder utfärdat av en domstol med behörig jurisdiktion."

Enligt sin egen öppenhetsrapport, som täcker alla sådana förfrågningar som mottogs från 1 maj till och med 31 oktober 2017, resulterade endast en begäran i att "innehållsinformation" avslöjades. Innehållsdata inkluderar användargenererad information som offentliga och privata meddelanden, inlägg, filer och DM: er.

Slack 3

Rapporten säger att Slack inte fick några nationella säkerhetsbrev (NSL: er) under denna period, men det bör noteras att NSL: er vanligtvis åtföljs av gagorder. Detta skulle förhindra Slack från att avslöja att det hade fått en NSL.

Om Slack överlämnar dina uppgifter till polisen kommer det vanligtvis att meddela dig om situationen. Detta gäller naturligtvis inte om det är lagligt förbjudet att göra det. Mer oroande kommer Slack inte att informera personer som bedriver olagligt beteende eller där det anses vara "risk för skada på människor eller egendom."

Tills ett mål har väckts vid domstol, vem ska dock säga om en kund har bedrivit olagligt beteende?

Kan hackare läsa mina meddelanden?

I teorin, nej. Som noterats tidigare är meddelanden krypterade både i transit och när de är i vila. I praktiken har Slack ännu inte drabbats av ett större dataintrång. Dock:

  • 2014 upptäckte säkerhetsforskaren Tanay Sai ett fel i Slack-programvaran. Detta gjorde att alla kunde se ett företags interna Slack-team bara genom att ange en falsk e-postadress för det företaget.
  • 2015 drabbades Slack av ett fyra dagars säkerhetsbrott där användarnas kontouppgifter och lösenord var tillgängliga för hackare. Lyckligtvis hade denna information hashats med hjälp av hascfunktionen bcrypt-lösenord. Detta gör att det är mycket osannolikt (till det att det är omöjligt) att hackare kan massa omvandla hashade lösenord till vanlig text. Det kan dock fortfarande vara möjligt att knäcka enskilda lösenord hash. Efter denna incident började Slack erbjuda (valfritt) tvåfaktorautentisering (2FA) för konton.
  • Under 2017 avslöjade Slack upptäckten av en säkerhetsproblem som kan göra det möjligt för en hackare att logga in på Slack som om de var en legitim användare. De skulle då ha full tillgång till gruppens chatthistorik, kanaler och delade filer. Man tror att sårbarheten lappades innan den upptäcktes och utnyttjades av skadliga angripare.

Kan annonsörer läsa mina meddelanden?

Goda nyheter här - nej. Slack har en prenumerationsbaserad affärsmodell och tjänar inga pengar på reklam. Slack har inte bara uttalat att den inte har några planer för att denna situation kommer att förändras i framtiden, utan det ger också lite affärsförnuft.

Människor kanske är villiga att lägga upp annonser och andra integritetsskydd i utbyte mot en gratis tjänst under sin fritid (tittar på dig, Facebook och Google!). Det är troligt att de inte accepterar detta när de arbetar, eftersom det skulle ha en negativ inverkan på produktiviteten.

Slutsats

Slack designades inte för stark integritet. Om efterlevnadsexport inte har aktiverats är dina DM-chattar säkra från din chef, men alla spel är annars avstängda. I allmänhet är det förmodligen bäst att tänka på Slack som du skulle e-post - om något inte är säkert att säga offentligt, så säg inte det på Slack.

Jag tackar Melanie Ehrenkranz från Gizmodo, vars artikel jag erkänner en stor skuld till.

Bildkredit: Giorgio Minguzzi /flickr.com/Vissa rättigheter reserverade.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me