Er dine slakke chats private?

Hva er slakk?

Slack er et skybasert teamsamarbeidsverktøy som brukes av rundt seks millioner mennesker til daglig. Det er først og fremst en direktemeldingsplattform som ligner på Skype. Det lar deg snakke privat med andre teammedlemmer, eller å opprette og bli med i mer åpne gruppekanaler med andre teammedlemmer. Fildeling, skjermdeling og tale- / videoanropsfunksjoner er innebygd.

Så er Slack samtalene mine private?

Dette er et komplisert spørsmål; Vær oppmerksom på at nesten all informasjonen nedenfor er samlet inn bare fra det Slack har valgt å dele.

Data er kryptert under transport og når de lagres, og Slack støtter nå HIPAA og FINRA standarder for databeskyttelse som kreves av henholdsvis helse- og finanssektoren.

Slack ble imidlertid ikke bygget med ende-til-ende-kryptering eller null kunnskapskryptografi i tankene. Data krypteres når de er lagret, men Slack holder krypteringsnøklene, og kan derfor få tilgang til dem. Slack er også et proprietært skyet kildeprodukt, så det er ingen måte å uavhengig revidere hva programvaren faktisk gjør.

Alt dette betyr at vi bare må ta Slacks ord for hva det gjør med dataene våre.

Kan sjefen min lese meldingene mine?

Dette er sannsynligvis de fleste ansattes mest presserende spørsmål! Og svaret er ... kanskje. Til å begynne med kan alle administratorer laste ned en "standardeksport" av all samtale på offentlige kanaler. Dette er sannsynligvis å forvente, men hva med private Direct Message (DM) samtaler med andre teammedlemmer?

Vel, det kommer an på hvilke innstillinger sjefen din har satt på plass. Å finne ut:

  1. Gå til profilen din i Slack -> Profil og konto -> Kontoinnstillinger -> Arbeidsområdeinnstillinger.

Eller bare besøk teamname.slack.com/account/team i nettleseren din.

  1. Bla ned til samsvarseksport.

Heldigvis for meg kan sjefen min ikke lese mine private meldinger. Puh!

Hvis samsvarseksport er aktivert, kan den primære eieren av din slappe konto (sjefen din) laste ned en zip-fil som inneholder alle dine private samtaler. Merk at dette alternativet ikke er aktivert som standard, og er bare tilgjengelig for sjefer som registrerer seg til Slack Plus-planen.

Selv da må de sende inn en søknad som må godkjennes av Slack. Ingen informasjon er imidlertid tilgjengelig om hvilke kriterier som må oppfylles for at denne godkjenningen kan gis.

Gode ​​nyheter er at hvis Compliance Exports ikke allerede er aktivert, kan sjefen din ikke lure dem uten at du vet det. * Hvis Compliance Exports-funksjonen er slått på når den tidligere ble slått av, vil du få en Slackbot-varsling. Sjefen din vil ikke kunne få tilgang til meldinger sendt før samsvarseksporten er aktivert.

* Oppdatering mars 2018: En endring i retningslinjene betyr at sjefen din under begrensede omstendigheter kan ha tilgang til private DMer, selv når du bruker gratis- eller standardplanene.

Kan slakk ansatte lese meldingene mine?

Til tross for lange sider om personvern og sikkerhetspraksis, forblir nøyaktig hvilke data Slack-ansatte kan se, og hvem som kan se det, som gjørme. Slack fortalte Gizmodo ganske mye hva jeg forventer: Ansatte kan få tilgang til meldingene dine, og vil gjøre det i en nødsituasjon eller av andre "gyldige, forsvarlige grunner."

Ingen ansatte har imidlertid "stående tilgang" (ubegrenset tilgang) til brukernes data. Slakk sikkerhetssjef Geoff Belknap forsikret også Gizmodo om at:

"Det er et veldig lite antall og et veldig kontrollert antall mennesker som har det jeg vil si som muligheten til å følge en prosess som plasserer dem et sted de potensielt har tilgang til data."

Hva med uautorisert tilgang?

Slack insisterer på at det har et sett med protokoller på plass som vil føre til at alarmer utløses dersom et uautorisert forsøk på å få tilgang til brukerens data blir gjort. Belknap uttalte også at det ikke er “bygget noe forsettlig verktøy” som vil gi ansatte tilgang til bestemte samtaler. Han innrømmet imidlertid at et slikt verktøy kunne bygges om nødvendig.

Som Nate Cardozo, bemerker seniorstatsadvokat ved Electronic Frontier Foundation (EFF):

"Slack kunne ha bygget dette systemet på en måte som ingen i selskapet hadde tilgang til brukerdata. Det det kommer ned til er, 'stol på oss.' Det er det samme som Uber sa, og så ble de fanget med buksene ned med Gud-modus. Hvis du ikke vil legge den i e-post, ikke legg inn Slack. ”

Kan politiet lese meldingene mine?

Slack er et amerikansk selskap, og må derfor etterkomme gyldige forespørsler om informasjon fra amerikanske rettshåndhevelsesorganer. Slack sier at etterlevelse av slike forespørsler "krever en søknadsordre utstedt av en domstol med kompetent jurisdiksjon."

I følge sin egen åpenhetsrapport, som dekker alle slike forespørsler mottatt fra 1. mai til 31. oktober 2017, resulterte bare en forespørsel i at "innholdsdata" ble avslørt. Innholdsdata inkluderer brukergenererte data som offentlige og private meldinger, innlegg, filer og DM-er.

Slakk 3

Rapporten sier at Slack ikke mottok noen nasjonale sikkerhetsbrev (NSL-er) i løpet av denne perioden, men det skal bemerkes at NSL-er typisk ledsages av ordre om gag. Dette ville forhindre Slack i å avsløre det faktum at det hadde mottatt en NSL.

Hvis Slack overleverer dataene dine til politiet, vil det vanligvis varsle deg om situasjonen. Dette gjelder selvfølgelig ikke hvis det er lovlig forbudt å gjøre det. Mer bekymringsfullt vil Slack ikke informere personer som driver med ulovlig oppførsel, eller hvor det anses å være "risiko for skade på mennesker eller eiendommer."

Inntil en sak er ført for retten, men som skal si om en kunde har engasjert seg i ulovlig oppførsel?

Kan hackere lese meldingene mine?

I teorien, nei. Som nevnt tidligere, er meldinger kryptert både under transport og når du er i ro. I praksis har Slack ennå ikke fått et større datainnbrudd. Men:

  • I 2014 oppdaget sikkerhetsforsker Tanay Sai en feil i Slack-programvaren. Dette tillot alle å se et selskaps interne Slack-team bare ved å oppgi en falsk e-postadresse for det selskapet.
  • I 2015 fikk Slack et fire dager langt sikkerhetsbrudd der brukernes kontodetaljer og passord var tilgjengelige for hackere. Heldigvis hadde disse dataene blitt hashet ved hjelp av hascingsfunksjonen bcrypt passord. Dette gjør at det er svært lite sannsynlig (til det å være umulig) at hackere kan masse-konvertere hashede passord til ren tekst. Det kan likevel være mulig å knekke individuelle passord-hasj. Etter denne hendelsen begynte Slack å tilby (valgfri) to faktorautentisering (2FA) for kontoer.
  • I 2017 avslørte Slack oppdagelsen av et sikkerhetssårbarhet som kan tillate en hacker å logge inn på Slack som om de var en legitim bruker. De vil da ha full tilgang til en gruppes chathistorikk, kanaler og delte filer. Det antas at sårbarheten ble lappet før den ble oppdaget og utnyttet av ondsinnede angripere.

Kan annonsører lese meldingene mine?

Gode ​​nyheter her - nei. Slack har en abonnementsbasert forretningsmodell og tjener ikke penger på reklame. Ikke bare har Slack uttalt at den ikke har noen planer for at denne situasjonen skal endres i fremtiden, men det gir også lite forretningsmessig mening.

Folk kan være villige til å stille opp med annonser og andre personverninvasioner i bytte mot en gratis tjeneste i løpet av fritiden (ser på deg, Facebook og Google!). Det er neppe sannsynlig at de godtar dette når de jobber, da det vil ha en negativ innvirkning på produktiviteten.

Konklusjon

Slack var ikke designet for sterkt privatliv. Hvis ikke samsvarseksport er blitt aktivert, er DM-chatene dine trygge fra sjefen din, men alle spill er ellers av. Generelt er det sannsynligvis best å tenke på Slack som du ville sendt på e-post - hvis noe ikke er trygt å si offentlig, så ikke si det på Slack.

Min takk til Melanie Ehrenkranz fra Gizmodo, hvis artikkel jeg erkjenner en stor gjeld til.

Bildekreditt: Giorgio Minguzzi /flickr.com/Noen rettigheter forbeholdt.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me