Οι ιδιωτικές συνομιλίες σας είναι χαλαρές;

Τι είναι Slack?

Το Slack είναι ένα εργαλείο συνεργασίας που βασίζεται σε σύννεφο και χρησιμοποιείται από περίπου έξι εκατομμύρια άτομα σε καθημερινή βάση. Πρόκειται κυρίως για μια πλατφόρμα άμεσων μηνυμάτων παρόμοια με το Skype. Σας επιτρέπει να μιλάτε ιδιωτικά σε άλλα μέλη της ομάδας ή να δημιουργείτε και να συμμετέχετε σε πιο ανοιχτά "κανάλια" με άλλα μέλη της ομάδας. Η κοινή χρήση αρχείων, η κοινή χρήση οθόνης και οι λειτουργίες κλήσεων φωνής / βίντεο είναι ενσωματωμένες.


Έτσι, οι συνομιλίες μου Slack είναι ιδιωτικές?

Πρόκειται για περίπλοκη ερώτηση. Σημειώστε ότι όλες σχεδόν οι πληροφορίες που ακολουθούν συλλέγονται απλά από αυτό που η Slack επέλεξε να μοιραστεί.

Τα δεδομένα κρυπτογραφούνται κατά τη μεταφορά και όταν αποθηκεύονται και η Slack υποστηρίζει τώρα τα πρότυπα προστασίας δεδομένων HIPAA και FINRA που απαιτούνται από τις βιομηχανίες υγείας και χρηματοπιστωτικών υπηρεσιών αντίστοιχα.

Το Slack, ωστόσο, δεν κατασκευάστηκε με κρυπτογράφηση από άκρο σε άκρο ή κρυπτογραφία μηδενικών γνώσεων. Τα δεδομένα κρυπτογραφούνται όταν αποθηκεύονται, αλλά το Slack κρατάει τα κλειδιά κρυπτογράφησης και επομένως μπορεί να έχει πρόσβαση σε αυτά. Το Slack είναι επίσης ένα ιδιόκτητο σύννεφο προϊόν προέλευσης, οπότε δεν υπάρχει τρόπος να ελεγχθεί ανεξάρτητα τι κάνει το λογισμικό.

Όλα αυτά σημαίνει ότι πρέπει να πάρουμε τη λέξη του Slack για το τι κάνει με τα δεδομένα μας.

Μπορεί το αφεντικό μου να διαβάσει τα μηνύματά μου?

Αυτή είναι η πιο πιεστική ερώτηση των περισσότερων εργαζομένων! Και η απάντηση είναι ... ίσως. Για αρχή, όλοι οι διαχειριστές μπορούν να κατεβάσουν μια "κανονική εξαγωγή" όλων των συνομιλιών σε δημόσια κανάλια. Αυτό είναι πιθανόν να αναμένεται, αλλά τι γίνεται με τις ιδιωτικές συνομιλίες άμεσου μηνύματος (DM) με άλλα μέλη της ομάδας?

Λοιπόν, όλα εξαρτώνται από τις ρυθμίσεις που ο προϊστάμενός σας έχει θέσει σε εφαρμογή. Για να μάθετε:

  1. Στο Slack, πηγαίνετε στο προφίλ σας -> Προφίλ και λογαριασμός -> Ρυθμίσεις λογαριασμού -> Ρυθμίσεις χώρου εργασίας.

Ή απλώς επισκεφτείτε την ομάδαname.slack.com/account/team στο πρόγραμμα περιήγησής σας.

  1. Κάντε κύλιση προς τα κάτω στην επιλογή Εξαγωγή συμμόρφωσης.

Ευτυχώς για μένα, ο προϊστάμενός μου δεν μπορεί να διαβάσει τα προσωπικά μου μηνύματα. Φτου!

Εάν οι Εξαγωγές συμμόρφωσης είναι ενεργοποιημένες, τότε ο κύριος ιδιοκτήτης του λογαριασμού σας slack (ο προϊστάμενός σας) μπορεί να κατεβάσει ένα αρχείο zip που περιέχει όλες τις ιδιωτικές συνομιλίες σας. Σημειώστε ότι αυτή η επιλογή δεν είναι ενεργοποιημένη από προεπιλογή και είναι διαθέσιμη μόνο σε αφεντικά που έχουν εγγραφεί στο σχέδιο Slack Plus.

Ακόμα και τότε, πρέπει να υποβάλουν αίτηση που πρέπει να εγκριθεί από την Slack. Ωστόσο, δεν υπάρχουν διαθέσιμα στοιχεία σχετικά με τα κριτήρια που πρέπει να πληρούνται για την έγκριση αυτή.

Η καλή είδηση ​​είναι ότι εάν οι Εξαγωγές συμμόρφωσης δεν είναι ήδη ενεργοποιημένες, ο προϊστάμενός σας δεν μπορεί να τις ενεργοποιήσει κρυφά χωρίς να το γνωρίζετε. * Εάν η λειτουργία Εξαγωγές συμμόρφωσης είναι ενεργοποιημένη όταν έχει προηγουμένως απενεργοποιηθεί, θα λάβετε ειδοποίηση Slackbot. Ο προϊστάμενος σας δεν θα έχει πρόσβαση στα μηνύματα που έχουν σταλεί πριν από την ενεργοποίηση της εξαίρεσης συμμόρφωσης.

* Ενημέρωση Μαρτίου 2018: μια αλλαγή στην πολιτική σημαίνει ότι σε περιορισμένες περιπτώσεις ο προϊστάμενός σας μπορεί να έχει πρόσβαση σε ιδιωτικά DM, ακόμη και όταν χρησιμοποιεί τα ελεύθερα ή πρότυπα σχέδια.

Μπορεί το προσωπικό Slack να διαβάσει τα μηνύματά μου?

Παρά τις τεράστιες σελίδες Πολιτικής Προστασίας Προσωπικών Δεδομένων και Πρακτικών Ασφαλείας, ακριβώς ποια στοιχεία των μελών του Slack μπορούν να δουν και ποιος το βλέπει, παραμένει σαφές ως λάσπη. Ο Slack είπε στο Gizmodo τι θα περίμενα: Οι εργαζόμενοι μπορούν να έχουν πρόσβαση στα μηνύματά σας και θα το κάνουν σε περίπτωση έκτακτης ανάγκης ή για άλλους "έγκυρους, δικαιολογημένους λόγους".

Ωστόσο, κανένας υπάλληλος δεν έχει "διαρκή πρόσβαση" (απεριόριστη πρόσβαση) στα δεδομένα των χρηστών. Ο επικεφαλής της ασφάλειας Geoff Belknap διαβεβαίωσε επίσης το Gizmodo ότι:

"Είναι ένας πολύ μικρός αριθμός και ένας πολύ ελεγχόμενος αριθμός ανθρώπων που έχουν αυτό που θα ήθελα να φράση ως την ικανότητα να ακολουθήσω μια διαδικασία που τους τοποθετεί σε ένα μέρος που ενδεχομένως έχουν πρόσβαση στα δεδομένα".

Τι γίνεται με τη μη εξουσιοδοτημένη πρόσβαση?

Το Slack επιμένει ότι έχει στη διάθεσή του ένα σύνολο πρωτοκόλλων που θα οδηγήσουν σε ενεργοποίηση συναγερμών σε περίπτωση που γίνει μη εξουσιοδοτημένη προσπάθεια πρόσβασης στα δεδομένα των χρηστών. Η Belknap δήλωσε επίσης ότι δεν υπάρχει "εκούσια κατασκευή εργαλείων" που θα επέτρεπε στους εργαζομένους να έχουν πρόσβαση σε συγκεκριμένες συνομιλίες. Ωστόσο, παραδέχτηκε ότι ένα τέτοιο εργαλείο θα μπορούσε να κατασκευαστεί εάν απαιτείται.

Όπως δήλωσε ο Nate Cardozo, ανώτερος πληρεξούσιος του προσωπικού στο Ίδρυμα Electronic Frontier Foundation (EFF)

"Το Slack θα μπορούσε να έχει δημιουργήσει αυτό το σύστημα με τέτοιο τρόπο ώστε κανένας στην εταιρεία να μην είχε πρόσβαση στα δεδομένα του χρήστη. Αυτό που συμβαίνει είναι «εμπιστευθείτε μας». Αυτό είναι το ίδιο πράγμα που είπε ο Uber και στη συνέχεια πιάστηκαν με τα παντελόνια τους κάτω από τη λειτουργία του Θεού. Αν δεν το βάλετε στο ηλεκτρονικό ταχυδρομείο, μην βάζετε το Slack. "

Μπορεί η αστυνομία να διαβάσει τα μηνύματα μου?

Η Slack είναι μια αμερικανική εταιρεία και ως εκ τούτου πρέπει να συμμορφώνεται με έγκυρα αιτήματα πληροφοριών από αμερικανικούς φορείς επιβολής του νόμου. Slack λέει ότι η συμμόρφωση με τέτοια αιτήματα "απαιτεί ένα ένταλμα έρευνας που εκδίδεται από αρμόδιο δικαστήριο."

Σύμφωνα με τη δική της έκθεση διαφάνειας, η οποία καλύπτει όλες αυτές τις αιτήσεις που υποβλήθηκαν από την 1η Μαΐου έως τις 31 Οκτωβρίου 2017, μόνο μία αίτηση είχε ως αποτέλεσμα την αποκάλυψη «δεδομένων περιεχομένου». Τα δεδομένα περιεχομένου περιλαμβάνουν δεδομένα που δημιουργούνται από χρήστες, όπως δημόσια και ιδιωτικά μηνύματα, αναρτήσεις, αρχεία και DM.

Χαλαρώστε 3

Η έκθεση αναφέρει ότι το Slack δεν έλαβε επιστολές εθνικής ασφάλειας (NSL) κατά τη διάρκεια αυτής της περιόδου, αλλά πρέπει να σημειωθεί ότι οι NSL συνήθως συνοδεύονται από παραγγελίες gag. Αυτό θα εμπόδιζε τη Slack να αποκαλύψει το γεγονός ότι είχε λάβει NSL.

Εάν η Slack παραδώσει τα δεδομένα σας στην αστυνομία, συνήθως θα σας ενημερώσει για την κατάσταση. Αυτό δεν ισχύει, βέβαια, εάν απαγορεύεται από το νόμο να το πράξει. Περισσότερο ανησυχητικό είναι ότι η Slack δεν θα ενημερώσει τους ανθρώπους που κάνουν παράνομη συμπεριφορά ή όπου υπάρχει "κίνδυνος βλάβης ανθρώπων ή περιουσίας".

Μέχρι να προσκομιστεί μια υπόθεση στο δικαστήριο, ωστόσο, ποιος θα πει εάν ένας πελάτης έχει εμπλακεί σε παράνομη συμπεριφορά?

Μπορούν οι χάκερ να διαβάσουν τα μηνύματά μου?

Θεωρητικά, όχι. Όπως σημειώθηκε νωρίτερα, τα μηνύματα κρυπτογραφούνται τόσο στη διαμετακόμιση όσο και στην ηρεμία. Στην πράξη, η Slack δεν έχει υποστεί ακόμα σημαντική παραβίαση δεδομένων. Ωστόσο:

  • Το 2014, ο ερευνητής ασφάλειας Tanay Sai ανακάλυψε ένα σφάλμα στο λογισμικό Slack. Αυτό επέτρεψε σε οποιονδήποτε να δει τις εσωτερικές ομάδες Slack μιας εταιρείας μόνο εισάγοντας μια ψεύτικη διεύθυνση ηλεκτρονικού ταχυδρομείου για αυτήν την εταιρεία.
  • Το 2015, ο Slack υπέστη τετραήμερη παραβίαση ασφαλείας, στην οποία τα στοιχεία λογαριασμού και οι κωδικοί πρόσβασης των χρηστών ήταν προσβάσιμα στους χάκερς. Ευτυχώς, αυτά τα δεδομένα είχαν χυθεί χρησιμοποιώντας τη λειτουργία εκκαθάρισης κωδικού πρόσβασης bcrypt. Αυτό καθιστά πολύ απίθανο (μέχρι το σημείο να είναι αδύνατο) ότι οι χάκερ θα μπορούσαν να μετατρέψουν μαζικά τους εξαφανισμένους κωδικούς σε απλό κείμενο. Μπορεί, ωστόσο, να είναι δυνατή η ρωγμή μεμονωμένων παρερμηνειών κωδικού πρόσβασης. Μετά από αυτό το συμβάν, η Slack άρχισε να προσφέρει (προαιρετικά) δύο στοιχεία ταυτότητας παράγοντα (2FA) για λογαριασμούς.
  • Το 2017, η Slack αποκάλυψε την ανακάλυψη μιας ευπάθειας ασφαλείας που θα μπορούσε να επιτρέψει σε έναν χάκερ να συνδεθεί με το Slack σαν να ήταν νόμιμος χρήστης. Στη συνέχεια θα έχουν πλήρη πρόσβαση στο ιστορικό συνομιλίας, τα κανάλια και τα κοινόχρηστα αρχεία μιας ομάδας. Πιστεύεται ότι το θέμα ευπάθειας έχει διορθωθεί προτού ανακαλυφθεί και αξιοποιηθεί από κακόβουλους επιτιθέμενους.

Μπορούν οι διαφημιζόμενοι να διαβάσουν τα μηνύματά μου?

Καλά νέα εδώ - όχι. Το Slack έχει επιχειρηματικό μοντέλο με συνδρομή και δεν κάνει χρήματα από τη διαφήμιση. Η Slack δήλωσε όχι μόνο ότι δεν έχει σχέδια να αλλάξει αυτή η κατάσταση στο μέλλον, αλλά έχει και μικρή επιχειρηματική λογική.

Οι άνθρωποι μπορεί να είναι πρόθυμοι να βάλουν τις διαφημίσεις και άλλες εισβολές ιδιωτικού απορρήτου σε αντάλλαγμα για μια δωρεάν υπηρεσία κατά τη διάρκεια του ελεύθερου χρόνου τους (βλέποντας εσάς, το Facebook και το Google!). Είναι απίθανο να το δεχτούν αυτό όταν δουλεύουν, διότι θα είχαν αρνητικές επιπτώσεις στην παραγωγικότητα.

συμπέρασμα

Το Slack δεν σχεδιάστηκε για ισχυρό απόρρητο. Εάν δεν έχετε ενεργοποιήσει τις Εξαγωγές συμμόρφωσης, τότε οι συνομιλίες DM είναι ασφαλείς από τον προϊστάμενό σας, αλλά όλα τα στοιχήματα είναι εκτός λειτουργίας. Σε γενικές γραμμές, είναι ίσως καλύτερο να σκεφτείτε Slack όπως θα στείλατε email - αν κάτι δεν είναι ασφαλές να πει κανείς δημόσια, τότε μην το πείτε στο Slack.

Ευχαριστώ την Melanie Ehrenkranz από το Gizmodo, του οποίου το άρθρο αναγνωρίζω ένα μεγάλο χρέος.

Image Credit: Giorgio Minguzzi /flickr.com/Όλα τα δικαιώματα διατηρούνται.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me