Er dine slappe chats private?

Hvad er Slack?

Slack er et skybaseret teamsamarbejdsværktøj, der bruges af ca. seks millioner mennesker til daglig. Det er primært en Instant Messaging-platform, der ligner Skype. Det giver dig mulighed for at tale privat med andre teammedlemmer, eller at oprette og slutte sig til mere åben gruppe "kanaler" med andre teammedlemmer. Fildeling, skærmdeling og tale / videoopkaldsfunktioner er indbygget.

Så er mine slappe samtaler private?

Dette er et kompliceret spørgsmål; Bemærk, at næsten alle nedenstående oplysninger indsamles blot fra det, Slack har valgt at dele.

Data er krypteret i transit og når de gemmes, og Slack understøtter nu HIPAA og FINRA databeskyttelsesstandarder, der kræves af henholdsvis sundheds- og finansielle servicesektorer.

Slack blev imidlertid ikke bygget med ende-til-ende-kryptering eller nul-viden kryptografi i tankerne. Data krypteres, når de er gemt, men Slack holder krypteringsnøglerne inde og kan derfor få adgang til dem. Slack er også et beskyttet clouded-kildeprodukt, så der er ingen måde at uafhængigt revidere, hvad softwaren faktisk laver.

Alt dette betyder, at vi bare skal tage Slacks ord for, hvad det gør med vores data.

Kan min chef læse mine beskeder?

Dette er sandsynligvis de fleste medarbejderes mest presserende spørgsmål! Og svaret er ... måske. Til at starte med kan alle administratorer downloade en "standardeksport" af al samtale på offentlige kanaler. Dette kan sandsynligvis forventes, men hvad med private Direct Message (DM) samtaler med andre teammedlemmer?

Det afhænger alt sammen af, hvilke indstillinger din chef har indført. At finde ud af:

  1. Gå til din profil i Slack -> Profil og konto -> Bruger indstillinger -> Arbejdsområdeindstillinger.

Eller bare besøge teamname.slack.com/account/team i din browser.

  1. Rul ned til Overholdelse Eksport.

Heldigvis for mig kan min chef ikke læse mine private beskeder. Pyha!

Hvis complianceeksport er aktiveret, kan den primære ejer af din slappe konto (din chef) downloade en zip-fil, der indeholder alle dine private samtaler. Bemærk, at denne indstilling ikke er aktiveret som standard og kun er tilgængelig for chefer, der tilmelder sig Slack Plus-planen.

Selv da skal de indsende en ansøgning, der skal godkendes af Slack. Der er dog ingen tilgængelige oplysninger om, hvilke kriterier der skal være opfyldt for at denne godkendelse kan gives.

Gode ​​nyheder er, at hvis overholdelse af eksport ikke allerede er aktiveret, kan din chef ikke slukke for dem uden at du ved. * Hvis funktionen for overholdelse af eksport er tændt, da den tidligere blev slået fra, får du en Slackbot-anmeldelse. Din chef vil ikke være i stand til at få adgang til meddelelser, der er sendt, før Eksport af overholdelse er aktiveret.

* Opdatering marts 2018: en ændring i politikken betyder, at din chef under begrænsede omstændigheder muligvis kan få adgang til private DM'er, selv når du bruger gratis eller standardplaner.

Kan slack personale læse mine beskeder?

På trods af at have lange sider om privatlivspolitik og sikkerhedspraksis, forbliver nøjagtigt hvilke data Slack-medarbejdere kan se, og hvem der kan se det, som mudder. Slack fortalte Gizmodo stort set, hvad jeg ville forvente: Medarbejdere kan få adgang til dine meddelelser og vil gøre det i en nødsituation eller af andre "gyldige, forsvarlige grunde (r)."

Ingen medarbejdere har imidlertid "stående adgang" (ubegrænset adgang) til brugernes data. Sikkerhedschef Geoff Belknap forsikrede også Gizmodo om, at:

”Det er et meget lille antal og et meget kontrolleret antal mennesker, der har det, jeg ville udtryk som evnen til at følge en proces, der sætter dem et sted, hvor de potentielt har adgang til data.”

Hvad med uautoriseret adgang?

Slack insisterer på, at det har et sæt protokoller på plads, der ville resultere i, at der udløses alarmer, hvis der foretages et uautoriseret forsøg på at få adgang til brugernes data. Belknap erklærede også, at der ikke er "ingen forsætlig værktøj bygget", der giver ansatte mulighed for at få adgang til specifikke samtaler. Han indrømmede dog, at et sådant værktøj kunne bygges, hvis det var nødvendigt.

Som Nate Cardozo bemærker senior stabsadvokat ved Electronic Frontier Foundation (EFF):

”Slack kunne have bygget dette system på en måde, som ingen i virksomheden havde adgang til brugerdata. Hvad det kommer til er, 'stol på os.' Det er den samme ting, som Uber sagde, og så blev de fanget med deres bukser ned med Guds tilstand. Hvis du ikke ville placere det i e-mail, skal du ikke lægge det i Slack. ”

Kan politiet læse mine beskeder?

Slack er et amerikansk selskab og skal derfor efterkomme gyldige anmodninger om oplysninger fra amerikanske retshåndhævelsesorganer. Slack siger, at overholdelse af sådanne anmodninger "kræver en søgekendelse udstedt af en domstol med kompetent jurisdiktion."

I henhold til sin egen gennemsigtighedsrapport, der dækker alle sådanne anmodninger modtaget fra 1. maj til 31. oktober 2017, resulterede kun en anmodning i, at ”indholdsdata” blev afsløret. Indholdsdata inkluderer brugergenererede data såsom offentlige og private meddelelser, indlæg, filer og DM'er.

Slack 3

Rapporten siger, at Slack ikke modtog nogen nationale sikkerhedsbreve (NSL'er) i denne periode, men det skal bemærkes, at NSL'er typisk er ledsaget af gag-ordrer. Dette ville forhindre Slack i at afsløre, at det havde modtaget en NSL.

Hvis Slack overleverer dine data til politiet, vil det normalt informere dig om situationen. Dette gælder naturligvis ikke, hvis det er lovligt forbudt at gøre det. Mere foruroligende vil Slack ikke informere folk, der udøver ulovlig adfærd, eller hvor der anses for at være "risiko for skade på mennesker eller ejendom."

Indtil en sag er blevet anlagt for retten, hvem skal dog sige, om en kunde har været involveret i ulovlig adfærd?

Kan hackere læse mine beskeder?

I teorien, nej. Som nævnt tidligere, er meddelelser krypteret både under transit og når de er i ro. I praksis har Slack endnu ikke lidt et større dataforbrud. Imidlertid:

  • I 2014 opdagede sikkerhedsforsker Tanay Sai en fejl i Slack-softwaren. Dette gjorde det muligt for enhver at se et virksomheds interne Slack-teams bare ved at indtaste en falsk e-mail-adresse til det pågældende firma.
  • I 2015 blev Slack udsat for en fire-dages sikkerhedsbrud, hvor brugernes kontooplysninger og adgangskoder var tilgængelige for hackere. Heldigvis var disse data blevet hashet ved hjælp af hascerfunktionen bcrypt password. Dette gør det meget usandsynligt (til det punkt, at det er umuligt), at hackere kunne massekonvertere hashede adgangskoder til almindelig tekst. Det kan dog stadig være muligt at knække individuelle adgangskodehashes. Efter denne hændelse begyndte Slack at tilbyde (valgfri) to faktorautentificering (2FA) til konti.
  • I 2017 afslørede Slack opdagelsen af ​​en sikkerhedssårbarhed, der kunne give en hacker mulighed for at logge ind på Slack, som om de var en legitim bruger. De ville derefter have fuld adgang til en gruppes chathistorik, kanaler og delte filer. Det antages, at sårbarheden blev lappet, før den blev opdaget og udnyttet af ondsindede angribere.

Kan annoncører læse mine beskeder?

Gode ​​nyheder her - nej. Slack har en abonnementsbaseret forretningsmodel og tjener ikke penge på reklame. Slack har ikke kun erklæret, at den ikke har nogen planer for, at denne situation ændres i fremtiden, men det giver også ringe forretningsmæssig mening.

Folk er måske villige til at stille op med annoncer og andre privatlivsinvasioner i bytte for en gratis service i deres fritid (ser på dig, Facebook og Google!). Det er usandsynligt, at de ikke accepterer dette, når de arbejder, da det ville have en negativ indvirkning på produktiviteten.

Konklusion

Slack var ikke designet til stærkt privatliv. Hvis complianceeksport ikke er aktiveret, er dine DM-chats sikre fra din chef, men alle indsatser er ellers slukket. Generelt er det sandsynligvis bedst at tænke på Slack, som du ville e-maile - hvis noget ikke er sikkert at sige offentligt, skal du ikke sige det på Slack.

Min tak til Melanie Ehrenkranz fra Gizmodo, hvis artikel jeg anerkender en stor gæld til.

Billedkredit: Giorgio Minguzzi /flickr.com/Nogle rettigheder forbeholdes.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me