Le tue chat lente sono private?

Cos'è Slack?

Slack è uno strumento di collaborazione in team basato su cloud utilizzato da circa sei milioni di persone su base giornaliera. È principalmente una piattaforma di messaggistica istantanea simile a Skype. Consente di parlare in privato con altri membri del team o di creare e unire più "Canali" di gruppo aperti con altri membri del team. Le funzionalità di condivisione file, condivisione schermo e chiamata vocale / video sono integrate.

Quindi le mie conversazioni su Slack sono private?

Questa è una domanda complicata; Nota che quasi tutte le informazioni sottostanti sono raccolte semplicemente da ciò che Slack ha scelto di condividere.

I dati vengono crittografati in transito e quando archiviati e Slack ora supporta gli standard di protezione dei dati HIPAA e FINRA richiesti rispettivamente dai settori dei servizi sanitari e finanziari.

Inoltre, Slack non è stato creato tenendo conto della crittografia end-to-end o della crittografia a conoscenza zero. I dati vengono crittografati quando archiviati, ma Slack contiene le chiavi di crittografia e può quindi accedervi. Slack è anche un prodotto di origine cloud proprietario, quindi non c'è modo di controllare indipendentemente ciò che il software sta effettivamente facendo.

Tutto ciò significa che dobbiamo solo prendere la parola di Slack per quello che fa con i nostri dati.

Il mio capo può leggere i miei messaggi?

Questa è probabilmente la domanda più urgente della maggior parte dei dipendenti! E la risposta è ... forse. Per cominciare, tutti gli amministratori possono scaricare una "esportazione standard" di tutte le conversazioni sui canali pubblici. Questo è probabilmente prevedibile, ma per quanto riguarda le conversazioni private Direct Message (DM) con altri membri del team?

Bene, tutto dipende dalle impostazioni che il tuo capo ha messo in atto. Per scoprire:

  1. In Slack, vai al tuo profilo -> Profilo e account -> Impostazioni dell 'account -> Impostazioni dell'area di lavoro.

Oppure visita teamname.slack.com/account/team nel tuo browser.

  1. Scorri verso il basso fino a Esportazioni conformità.

Fortunatamente per me, il mio capo non può leggere i miei messaggi privati. Uff!

Se le Esportazioni conformità sono abilitate, il Proprietario principale del tuo account lento (il tuo capo) può scaricare un file zip contenente tutte le tue conversazioni private. Nota che questa opzione non è abilitata per impostazione predefinita ed è disponibile solo per i boss che si iscrivono al piano Slack Plus.

Anche in questo caso, devono presentare una domanda che deve essere approvata da Slack. Non sono disponibili informazioni, tuttavia, su quali criteri devono essere soddisfatti per ottenere questa approvazione.

La buona notizia è che se le Esportazioni di conformità non sono già abilitate, il tuo capo non può abilitarle di nascosto a tua insaputa. * Se la funzione Esportazioni di conformità è attivata quando è stata precedentemente disattivata, riceverai una notifica Slackbot. Il tuo capo non sarà in grado di accedere ai messaggi inviati prima dell'abilitazione delle Esportazioni conformità.

* Aggiornamento marzo 2018: un cambiamento nella politica significa che in circostanze limitate il tuo capo potrebbe essere in grado di accedere a DM privati, anche quando utilizza i piani gratuiti o Standard.

Il personale di Slack può leggere i miei messaggi?

Nonostante disponga di lunghe pagine sull'Informativa sulla privacy e sulle Pratiche di sicurezza, esattamente quali dati possono vedere i membri dello staff di Slack e chi può vederli, rimane chiaro come fango. Slack ha detto a Gizmodo più o meno quello che mi sarei aspettato: i dipendenti possono accedere ai tuoi messaggi e lo faranno in caso di emergenza o per altri "motivi validi e giustificabili".

Nessun dipendente, tuttavia, ha un "accesso permanente" (accesso illimitato) ai dati degli utenti. Il debole capo della sicurezza Geoff Belknap ha anche assicurato a Gizmodo che:

"È un numero molto piccolo e un numero molto controllato di persone che hanno ciò che definirei come la capacità di seguire un processo che li mette in un posto in cui potenzialmente hanno accesso ai dati".

Che dire dell'accesso non autorizzato?

Slack insiste sul fatto che disponga di una serie di protocolli che determinerebbero l'attivazione di allarmi in caso di tentativo non autorizzato di accedere ai dati degli utenti. Belknap ha inoltre affermato che "non sono stati creati strumenti intenzionali" che consentano ai dipendenti di accedere a conversazioni specifiche. Ha ammesso, tuttavia, che un tale strumento potrebbe essere costruito, se necessario.

Come osserva Nate Cardozo, procuratore senior della Electronic Frontier Foundation (EFF):

“Slack avrebbe potuto costruire questo sistema in modo tale che nessuno all'interno dell'azienda potesse accedere ai dati degli utenti. Ciò che si riduce è "fidati di noi". È la stessa cosa che ha detto Uber e poi sono stati catturati con i pantaloni giù in modalità God. Se non lo avresti inserito nell'e-mail, non inserire Slack. "

La polizia può leggere i miei messaggi??

Slack è una società statunitense e deve pertanto soddisfare le valide richieste di informazioni da parte delle forze dell'ordine statunitensi. Slack afferma che la conformità a tali richieste "richiede un mandato di perquisizione emesso da un tribunale della giurisdizione competente".

Secondo il proprio rapporto sulla trasparenza, che copre tutte queste richieste ricevute dal 1 ° maggio al 31 ottobre 2017, solo una richiesta ha comportato la divulgazione di "dati di contenuto". I dati di contenuto includono dati generati dagli utenti come messaggi, post, file e DM pubblici e privati.

Lento 3

Il rapporto afferma che Slack non ha ricevuto lettere di sicurezza nazionale (NSL) durante questo periodo, ma va notato che le NSL sono in genere accompagnate da ordini di bavaglio. Ciò impedirebbe a Slack di rivelare il fatto di aver ricevuto un NSL.

Se Slack consegna i tuoi dati alla polizia, di solito ti avviserà della situazione. Ciò non si applica, ovviamente, se è legalmente vietato farlo. Ancora più preoccupante, Slack non informerà le persone che si impegnano in comportamenti illegali o dove si ritiene che vi sia "rischio di danni a persone o cose".

Fino a quando un caso non è stato portato in tribunale, tuttavia, chi può dire se un cliente ha commesso un comportamento illegale?

Gli hacker possono leggere i miei messaggi?

In teoria, no. Come notato in precedenza, i messaggi vengono crittografati sia in transito che a riposo. In pratica, Slack non ha ancora subito una grave violazione dei dati. Tuttavia:

  • Nel 2014, il ricercatore di sicurezza Tanay Sai ha scoperto un bug nel software Slack. Ciò ha permesso a chiunque di vedere i team Slack interni di una società semplicemente inserendo un indirizzo email falso per quella società.
  • Nel 2015, Slack ha subito una violazione della sicurezza di quattro giorni in cui i dettagli dell'account e le password degli utenti erano accessibili agli hacker. Fortunatamente, questi dati sono stati sottoposti a hash con la funzione di hashing della password di bcrypt. Ciò rende molto improbabile (al punto da essere impossibile) che gli hacker possano convertire in massa le password con hash in testo semplice. Tuttavia, potrebbe essere possibile decifrare singoli hash delle password. A seguito di questo incidente, Slack iniziò a offrire (facoltativo) due fattori di autenticazione (2FA) per gli account.
  • Nel 2017, Slack ha rivelato la scoperta di una vulnerabilità di sicurezza che potrebbe consentire a un hacker di accedere a Slack come se fosse un utente legittimo. Avrebbero quindi accesso completo alla cronologia della chat di un gruppo, ai canali e ai file condivisi. Si ritiene che la vulnerabilità sia stata corretta prima di essere scoperta e sfruttata da aggressori malintenzionati.

Gli inserzionisti possono leggere i miei messaggi?

Buone notizie qui - no. Slack ha un modello di business basato su abbonamento e non guadagna dalla pubblicità. Slack non solo ha dichiarato di non avere in programma che questa situazione cambi in futuro, ma ha anche poco senso per gli affari.

Le persone potrebbero essere disposte a sopportare annunci e altre invasioni della privacy in cambio di un servizio gratuito durante il loro tempo libero (guardando te, Facebook e Google!). È improbabile che lo accettino durante il lavoro, poiché avrebbe un impatto negativo sulla produttività.

Conclusione

Slack non è stato progettato per una forte privacy. Se le Esportazioni conformità non sono state abilitate, le tue chat DM sono al sicuro dal tuo capo, ma altrimenti tutte le scommesse sono disattivate. In generale, è probabilmente meglio pensare a Slack come si farebbe con l'e-mail - se qualcosa non è sicuro da dire in pubblico, allora non dirlo su Slack.

I miei ringraziamenti a Melanie Ehrenkranz di Gizmodo, al cui articolo riconosco un grande debito.

Credito d'immagine: Giorgio Minguzzi /flickr.com/Alcuni diritti riservati.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me