Jsou vaše Slack Chats soukromé?

Co je Slack?

Slack je týmový nástroj pro spolupráci v cloudu, který denně používá asi šest milionů lidí. Jedná se především o platformu okamžitých zpráv podobnou Skype. Umožňuje vám soukromě hovořit s ostatními členy týmu nebo vytvořit a připojit se k další otevřené skupině „Kanály“ s ostatními členy týmu. Funkce sdílení souborů, sdílení obrazovky a hlasové hovory / videohovory jsou vestavěny.


Takže jsou moje Slackovy rozhovory soukromé?

To je složitá otázka; Všimněte si, že téměř všechny níže uvedené informace jsou získány jednoduše z toho, co se Slack rozhodl sdílet.

Data jsou šifrována v tranzitu a při uložení a Slack nyní podporuje standardy ochrany dat HIPAA a FINRA vyžadované zdravotnickým a finančním průmyslem..

Slack nebyl také postaven s ohledem na šifrování typu end-to-end nebo na kryptografii s nulovými znalostmi. Data jsou při uložení šifrována, ale Slack drží šifrovací klíče, a proto k nim mají přístup. Slack je také proprietární cloudový zdrojový produkt, takže neexistuje způsob, jak nezávisle auditovat, co software skutečně dělá.

To vše znamená, že musíme jen vzít Slackovo slovo za to, co dělá s našimi údaji.

Může můj šéf číst mé zprávy?

Toto je pravděpodobně nejnaléhavější otázka zaměstnanců! A odpověď zní ... možná. Pro začátek si mohou všichni správci stáhnout „standardní export“ veškeré konverzace na veřejných kanálech. To se pravděpodobně dá očekávat, ale co soukromé konverzace Direct Message (DM) s ostatními členy týmu?

Vše záleží na tom, jaké nastavení váš šéf zavedl. Zjistit:

  1. V Slack přejděte na svůj profil -> Profil a účet -> Nastavení účtu -> Nastavení pracovního prostoru.

Nebo ve svém prohlížeči stačí navštívit teamname.slack.com/account/team.

  1. Přejděte dolů na Vývoz shody.

Naštěstí pro mě můj šéf neumí číst mé soukromé zprávy. Phew!

Pokud jsou povoleny vývozy v souladu s předpisy, může primární vlastník vašeho nevyužitého účtu (váš šéf) stáhnout soubor zip obsahující všechny vaše soukromé konverzace. Tato volba není ve výchozím nastavení povolena a je k dispozici pouze šéfům, kteří se přihlásí k plánu Slack Plus.

I poté musí podat žádost, která musí být schválena společností Slack. Nejsou však k dispozici žádné informace o tom, jaká kritéria musí být pro udělení tohoto schválení splněna.

Dobrou zprávou je, že pokud již nejsou povoleny Exporty Compliance, váš šéf je nemůže bez obav povolit, aniž byste to věděl. * Pokud je funkce Vývozy Compliance zapnutá, když byla předtím vypnuta, obdržíte upozornění Slackbot. Váš šéf nebude mít přístup k zprávám odeslaným dříve, než bude povolen export Compliance.

* Aktualizace března 2018: změna zásad znamená, že za omezených okolností bude váš šéf mít přístup k soukromým DM, a to i při použití bezplatných nebo standardních plánů.

Může personál Slacku přečíst mé zprávy?

Přes zdlouhavé stránky Zásady ochrany osobních údajů a Bezpečnostní postupy zůstává přesně to, jaká data mohou zaměstnanci Slacku vidět a kdo je vidí. Slack řekl Gizmodu do značné míry to, co bych očekával: Zaměstnanci mají přístup k vašim zprávám, a učiní tak v případě nouze nebo z jiného „platného, ​​odůvodnitelného důvodu“. “

Žádný zaměstnanec však nemá „stálý přístup“ (neomezený přístup) k datům uživatelů. Šéf bezpečnosti Slack Geoff Belknap také ujistil Gizmoda, že:

"Je to velmi malé množství a velmi kontrolovaný počet lidí, kteří mají to, co bych řekl, jako schopnost sledovat proces, který je staví na místo, kde mají potenciálně přístup k datům."

A co neoprávněný přístup?

Slack trvá na tom, že má k dispozici sadu protokolů, které by v případě neoprávněného pokusu o přístup k datům uživatelů vedly ke spuštění poplachů. Společnost Belknap také uvedla, že neexistuje žádný „záměrný nástroj“, který by zaměstnancům umožňoval přístup ke konkrétním konverzacím. Přiznal však, že takový nástroj lze v případě potřeby vyrobit.

Jako Nate Cardozo, Senior Staff Attorney v Electronic Frontier Foundation (EFF) uvádí:

„Slack mohl tento systém vybudovat tak, aby nikdo v rámci společnosti neměl přístup k uživatelským datům. K čemu to je, "věřte nám." To je to samé, co Uber řekl, a pak byli chyceni svými kalhotami s režimem Boha. Pokud byste to nezadali do e-mailu, nedávejte to do Slacku. “

Může policie číst mé zprávy?

Slack je americká společnost, a proto musí vyhovět platným žádostem o informace ze strany amerických donucovacích orgánů. Slack říká, že splnění těchto požadavků „vyžaduje příkaz k prohlídce vydaný soudem příslušné jurisdikce.“

Podle své vlastní zprávy o transparentnosti, která se vztahuje na všechny takové žádosti přijaté od 1. května do 31. října 2017, vedla pouze jedna žádost ke zveřejnění „obsahových údajů“. Obsahová data zahrnují uživatelsky generovaná data, jako jsou veřejné a soukromé zprávy, příspěvky, soubory a DM.

Slack 3

Zpráva uvádí, že Slack během tohoto období neobdržel žádná národní bezpečnostní písmena (NSL), ale je třeba poznamenat, že NSL jsou obvykle doprovázeny příkazy gag. To by zabránilo Slackovi odhalit skutečnost, že obdržel NSL.

Pokud Slack předá vaše data policii, obvykle vás o situaci informuje. To samozřejmě neplatí, pokud je to ze zákona zakázáno. Ještě znepokojivější je, že Slack nebude informovat lidi, kteří se dopouštějí protiprávního jednání nebo kde je považováno za „riziko poškození osob nebo majetku“.

Dokud však není věc předložena soudu, kdo má říkat, zda se zákazník dopustil protiprávního jednání?

Mohou hackeři číst mé zprávy?

Teoreticky ne. Jak bylo uvedeno výše, zprávy jsou šifrovány jak při přenosu, tak i v klidu. V praxi však Slack dosud neutrpěl závažné porušení údajů. Nicméně:

  • V roce 2014 objevil výzkumný pracovník v oblasti bezpečnosti Tanay Sai chybu v softwaru Slack. To umožnilo komukoli vidět interní týmy Slacku společnosti pouhým zadáním falešné e-mailové adresy pro tuto společnost.
  • V roce 2015 utrpěl Slack čtyřdenní narušení bezpečnosti, kdy hackerům byly přístupné údaje o uživatelských účtech a heslech. Naštěstí byla tato data hashována pomocí funkce šifrování hesla bcrypt. Proto je velmi nepravděpodobné (do té míry, že to není možné), že by hackeři mohli hromadně převádět hashovaná hesla do hesel prostého textu. Stále by však bylo možné popraskat jednotlivé hashe hesla. Po tomto incidentu začal Slack nabízet (volitelné) dvoufaktorové ověření (2FA) pro účty.
  • V roce 2017 odhalil Slack objev bezpečnostní chyby, která by mohla umožnit hackerovi přihlásit se do Slacku, jako by to byl legitimní uživatel. Poté budou mít plný přístup k historii chatu, kanálům a sdíleným souborům skupiny. Předpokládá se, že zranitelnost byla opravena před tím, než byla objevena a zneužita škodlivými útočníky.

Mohou inzerenti číst mé zprávy?

Dobrá zpráva - ne. Slack má obchodní model založený na předplatném a nevydělává peníze z reklamy. Slack nejenže prohlásil, že nemá v budoucnu žádné plány na změnu této situace, ale také to nedává smysl pro podnikání.

Lidé by mohli být ochotni se vzdát reklam a jiných invazí do soukromí výměnou za bezplatnou službu během svého volného času (při pohledu na vás, Facebook a Google!). Je však nepravděpodobné, že by to při práci přijali, protože by to mělo negativní dopad na produktivitu.

Závěr

Slack nebyl navržen pro silné soukromí. Pokud nebyly povoleny vývozy v souladu s předpisy, jsou vaše rozhovory DM v bezpečí před šéfem, ale všechny sázky jsou jinak vypnuty. Obecně je asi nejlepší myslet na Slacka, jako byste poslali e-mailem - pokud není na veřejnosti něco bezpečného říct, pak to neříkejte na Slack.

Mé poděkování patří Melanie Ehrenkranzové z Gizmoda, jehož článku uznávám velký dluh.

Obrázek Kredit: Giorgio Minguzzi /flickr.com/Některá práva vyhrazena.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me