Ovatko löysät keskustelusi yksityiset?

Mikä on löysä?

Slack on pilvipohjainen tiimiyhteistyökalu, jota päivittäin käyttää noin kuusi miljoonaa ihmistä. Se on ensisijaisesti Skypen kaltainen pikaviestintäalusta. Sen avulla voit puhua yksityisesti muiden ryhmän jäsenten kanssa tai luoda ja liittyä avoimempaan ryhmään “Kanavat” muiden ryhmän jäsenten kanssa. Tiedostojen jakaminen, näytön jakaminen ja ääni- / videopuheluominaisuudet ovat sisäänrakennettuja.


Joten ovat hiljaiset keskustelut yksityiset?

Tämä on monimutkainen kysymys; Huomaa, että melkein kaikki alla olevat tiedot kerätään pelkästään siitä, mitä Slack on päättänyt jakaa.

Tiedot salataan siirrettäessä ja tallennettaessa. Slack tukee nyt terveys- ja finanssipalveluteollisuuden vaatimia HIPAA- ja FINRA-tietosuojastandardeja..

Löysyyttä ei kuitenkaan myöskään rakennettu päästä päähän -salausta tai nolla tietämystä koskevaa salausta ajatellen. Tiedot salataan, kun niitä säilytetään, mutta löysä pitää salausavaimia ja voi siksi käyttää niitä. Slack on myös patentoitu lähdetuote, joten ei ole mitään keinoa riippumattomasti tarkistaa mitä ohjelmisto todella tekee.

Kaikki tämä tarkoittaa, että meidän on vain otettava Slackin sana siitä, mitä se tekee tietojemme kanssa.

Voiko pomo lukea viestejäni?

Tämä on todennäköisesti useimpien työntekijöiden kiireellisin kysymys! Ja vastaus on ... ehkä. Ensinnäkin kaikki järjestelmänvalvojat voivat ladata "normaalin viennin" kaikista keskusteluista julkisilla kanavilla. Tämä on todennäköisesti odotettavissa, mutta entä yksityiset suorat viestit (DM), muiden ryhmän jäsenten kanssa?

No, kaikki riippuu siitä, mitä asetukset pomosi on asettanut. Saada selville:

  1. Siirry profiilissasi Slackissa -> Profiili ja tili -> Tilin asetukset -> Työtilan asetukset.

Tai käy vain selaimessa teamname.slack.com/account/team.

  1. Vieritä alas kohtaan Compliance Exports.

Minulle onneksi pomo ei voi lukea yksityisiä viestejäni. Huh huh!

Jos vaatimustenmukaisuuden vienti on käytössä, löysän tilisi ensisijainen omistaja (pomosi) voi ladata ZIP-tiedoston, joka sisältää kaikki yksityiset keskustelut. Huomaa, että tämä vaihtoehto ei ole oletusarvoisesti käytössä ja se on käytettävissä vain pomoille, jotka kirjautuvat Slack Plus -suunnitelmaan.

Silloinkin heidän on jätettävä hakemus, jonka Slack on hyväksynyt. Tietoja siitä, mitkä kriteerit on täytettävä tämän hyväksynnän myöntämiseksi, ei ole kuitenkaan saatavilla.

Hyvä uutinen on, että jos vaatimustenmukaisuusvientiä ei ole jo otettu käyttöön, pomosi ei voi ottaa niitä käyttöön tietämättäsi. * Jos vaatimustenmukaisuusvienti-ominaisuus on käytössä, kun se aiemmin sammutettiin, saat Slackbot-ilmoituksen. Pomosi ei pääse käsiksi viesteihin, jotka on lähetetty ennen vaatimustenmukaisuuden viennin käyttöönottoa.

* Päivitä maaliskuu 2018: politiikan muutos tarkoittaa, että pomo voi päästä tietyissä olosuhteissa käyttämään yksityisiä DM: itä, jopa käyttäessäsi ilmaista tai vakio-suunnitelmaa.

Voiko Slack-henkilökunta lukea viestejäni?

Huolimatta pitkistä tietosuojakäytäntöjen ja tietoturvakäytäntöjen sivuista, tarkat tiedot, jotka Slack-henkilökunnan jäsenet näkevät ja kuka ne näkevät, jäävät selväksi mutaksi. Slack kertoi Gizmodolle melko mitä odottaisin: Työntekijät pääsevät käyttämään viestejäsi ja tekevät sen hätätilanteessa tai muusta ”pätevästä, perusteltavissa olevasta syystä”.

Yhdelläkään työntekijällä ei kuitenkaan ole ”pysyvää käyttöoikeutta” (rajoittamaton käyttöoikeus) käyttäjien tietoihin. Turvallisuuspäällikkö Geoff Belknap vakuutti myös Gizmodolle, että:

"Se on hyvin pieni määrä ja erittäin kontrolloitu määrä ihmisiä, joilla on, mitä sanoisin, kyky seurata prosessia, joka asettaa heidät paikkaan, jolla heillä on mahdollisuus käyttää tietoja."

Entä luvaton pääsy?

Slack vaatii, että sillä on joukko protokollia, jotka johtaisivat hälytyksiin, jos käyttäjän tietoihin yritetään luvattomasti yrittää. Belknap totesi myös, ettei ole olemassa mitään tarkoituksellista työkalua, joka antaisi työntekijöille pääsyn tiettyihin keskusteluihin. Hän myönsi kuitenkin, että tällainen työkalu voitaisiin rakentaa tarvittaessa.

Kuten Electronic Frontier Foundationin (EFF) vanhempi henkilöstöasianajaja Nate Cardozo toteaa:

”Löysä olisi voinut rakentaa tämän järjestelmän siten, että kukaan yrityksessä ei saanut pääsyä käyttäjän tietoihin. Se mitä tulee, on "luota meihin". Se on sama asia, jonka Uber sanoi ja sitten heidät kiinni housuineen jumala-tilassa. Jos et laita sitä sähköpostiin, älä laita Slackiin. "

Voiko poliisi lukea viestejäni??

Slack on yhdysvaltalainen yritys, ja sen on siksi noudatettava Yhdysvaltain lainvalvontaviranomaisten voimassa olevia tietopyyntöjä. Slackin mukaan tällaisten pyyntöjen noudattaminen "edellyttää toimivaltaisen tuomioistuimen antamaa etsintämääräystä".

Oman avoimuusraporttinsa mukaan, joka kattaa kaikki tällaiset pyynnöt, jotka saatiin 1. toukokuuta - 31. lokakuuta 2017, vain yksi pyyntö johti ”sisältötietojen” paljastamiseen. Sisältötiedot sisältävät käyttäjän luomaa tietoa, kuten julkiset ja yksityiset viestit, viestit, tiedostot ja DM: t.

Löysä 3

Raportin mukaan Slack ei saanut kansallisella turvallisuuskirjeellä (NSL) tänä aikana, mutta on huomattava, että NSL: ään liittyy tyypillisesti gag-määräyksiä. Tämä estäisi Slackia paljastamasta tosiasiaa, että se oli saanut NSL: n.

Jos Slack luovuttaa tietosi poliisille, se yleensä ilmoittaa tilanteesta. Tätä ei tietenkään sovelleta, jos se on laillisesti kielletty. Vielä huolestuttavampaa on, että Slack ei ilmoita ihmisille, jotka harjoittavat lainvastaista käyttäytymistä tai joissa katsotaan olevan "vahinko ihmisille tai omaisuudelle".

Ennen kuin asia on saatettu tuomioistuimeen, kenen on sanottava, onko asiakas harjoittanut lainvastaista toimintaa?

Voivat hakkerit lukea viestejäni?

Teoriassa ei. Kuten aiemmin todettiin, viestit salataan sekä kuljetuksen aikana että levossa ollessa. Käytännössä Slack ei ole vielä kärsinyt suurta tietosuojavirhettä. Kuitenkin:

  • Vuonna 2014 turvallisuustutkija Tanay Sai löysi virheen Slack-ohjelmistoon. Tämän ansiosta kuka tahansa pystyi näkemään yrityksen sisäiset Slack-tiimit vain kirjoittamalla yritykselle väärennetyn sähköpostiosoitteen.
  • Vuonna 2015 Slack kärsi neljän päivän tietoturvaloukkauksen, jossa hakkerit pääsivät käyttäjien tilitietoihin ja salasanoihin. Onneksi nämä tiedot on hajautettu käyttämällä bcrypt-salasanan hajautustoimintoa. Tämän vuoksi on hyvin epätodennäköistä (jopa siihen mahdottomuuteen), että hakkerit pystyisivät muuntamaan hajautetut salasanat massateksteiksi. Voi silti olla mahdollista hajottaa yksittäiset salasanat. Tämän tapauksen jälkeen Slack alkoi tarjota (valinnainen) kahden tekijän todennuksen (2FA) tileille.
  • Vuonna 2017 Slack paljasti tietoturvahaavoituksen, jonka avulla hakkeri voi kirjautua Slackiin ikään kuin he olisivat laillisia käyttäjiä. Heillä olisi sitten täysi pääsy ryhmän chat-historiaan, kanaviin ja jaettuihin tiedostoihin. Uskotaan, että haavoittuvuus on korjattu ennen haitallisten hyökkääjien havaitsemista ja hyväksikäyttöä.

Voivatko mainostajat lukea viestejäni?

Hyviä uutisia täällä - ei. Slackilla on tilauspohjainen liiketoimintamalli, eikä hän ansaitse rahaa mainonnasta. Slack ei ole vain todennut, että sillä ei ole aikomusta muuttaa tilannetta tulevaisuudessa, mutta sillä on myös vähän liiketoimintaa.

Ihmiset saattavat olla halukkaita sietämään mainoksia ja muita yksityisyyden loukkauksia vastineeksi ilmaiselle palvelulle vapaa-ajallaan (katsovat sinua, Facebookia ja Googlea!). He eivät todennäköisesti hyväksy tätä tätä työskennellessään, koska sillä olisi kielteinen vaikutus tuottavuuteen.

johtopäätös

Löysää ei ole suunniteltu vahvaan yksityisyyteen. Jos vaatimustenmukaisuusvientiä ei ole otettu käyttöön, DM-keskustelut ovat turvassa pomollesi, mutta muuten kaikki vedot ovat poissa käytöstä. Yleisesti ottaen on parasta ajatella Slackia kuten lähettäisit sähköpostia - jos jotain ei ole turvallista sanoa julkisesti, älä sano sitä Slackissa.

Kiitos Melanie Ehrenkranzille Gizmodosta, jonka artikkelissa tunnustan suuren velan.

Kuvahyvitys: Giorgio Minguzzi /flickr.com/Jotkut oikeudet pidätetään.
Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 47 = 56

map