您的闲聊是私人的吗?

什么是松弛?

Slack是基于云的团队协作工具,每天约有600万人使用。它主要是类似于Skype的即时消息平台。它使您可以与其他团队成员私下交谈,或者与其他团队成员创建并加入更开放的小组“渠道”。内置文件共享,屏幕共享和语音/视频通话功能.

我的Slack对话也是私人的?

这是一个复杂的问题。请注意,下面的几乎所有信息都是从Slack选择共享的内容中收集的.

数据在传输过程中和存储时都经过加密,Slack现在支持分别由健康和金融服务行业要求的HIPAA和FINRA数据保护标准。.

但是,Slack并不是在考虑端到端加密或零知识加密的情况下构建的。数据在存储时被加密,但是Slack拥有加密密钥,因此可以访问它。 Slack还是专有的云源产品,因此无法独立审核软件的实际功能.

所有这些都意味着我们只需要相信Slack对我们数据的作用.

我的老板可以阅读我的留言吗?

这可能是大多数员工最迫切的问题!答案是……也许。首先,所有管理员都可以在公共频道上下载所有对话的“标准导出”。这可能是预料之中的,但是与其他团队成员的私人直接消息(DM)对话又如何呢??

好吧,这完全取决于您老板的设置。找出:

  1. 在Slack中,转到您的个人资料 -> 个人资料和帐户 -> 帐号设定 -> 工作区设置.

或者只是在浏览器中访问teamname.slack.com/account/team.

  1. 向下滚动到Compliance Exports.

对我来说很幸运,我的老板看不到我的私人信息。 ew!

如果启用了“合规性导出”,则松弛帐户的主要所有者(您的老板)可以下载一个包含所有私人对话的zip文件。请注意,此选项默认情况下未启用,并且仅适用于注册了Slack Plus计划的老板.

即使这样,他们也必须提交必须由Slack批准的申请。没有可用的信息,但是,必须满足什么条件才能授予此批准.

好消息是,如果尚未启用Compliance Exports,您的老板将无法不知不觉地启用它们。*如果在以前关闭Compliance Exports功能时将其打开,则会收到Slackbot通知。您的老板将无法访问在启用合规性导出之前发送的消息.

* 2018年3月更新:政策变更意味着在有限的情况下,即使使用免费或标准计划,您的老板也可能能够访问私人DM.

Slack员工可以阅读我的消息吗?

尽管有很长的“隐私权政策和安全性实践”页面,但Slack员工可以看到的数据以及谁可以看到的数据仍然像泥泞一样清晰。 Slack几乎告诉了Gizmodo我希望的是:员工可以访问您的消息,并且会在紧急情况下或出于其他“正当理由”访问您的消息。

但是,没有员工可以对用户数据进行“常规访问”(不受限制的访问)。 Slack安全主管Geoff Belknap也向Gizmodo保证:

“这是一个很小的数目,而且数量非常可控,他们具有我所说的能力,能够遵循将他们置于可能访问数据的地方的流程。”

关于未经授权的访问?

Slack坚持认为它具有一套协议,如果未经授权尝试访问用户的数据,将导致触发警报。 Belknap还表示,“没有构建任何有目的的工具”,允许员工访问特定的对话。他确实承认,但是,如果需要,可以构建这样的工具.

正如电子前沿基金会(EFF)的高级参谋长Nate Cardozo所说:

“ Slack可以以一种公司内部没人可以访问用户数据的方式来构建该系统。最终的结果是,“信任我们。”这与Uber所说的一样,然后他们在上帝模式下陷入困境。如果您不希望将其放入电子邮件,请不要将其放入Slack。”

警察可以阅读我的信息吗?

Slack是一家美国公司,因此必须遵守美国执法机构的有效信息要求。 Slack表示,要满足此类要求,“需要具有管辖权的法院签发的搜查令。”

根据其自身的透明度报告,该报告涵盖了从2017年5月1日至2017年10月31日收到的所有此类请求,只有一项请求导致披露了“内容数据”。内容数据包括用户生成的数据,例如公共和私人消息,帖子,文件和DM。.

松弛3

该报告说,Slack在此期间未收到任何国家安全信件(NSL),但应注意,NSL通常伴随有堵截令。这将防止Slack披露其已收到NSL的事实.

如果Slack确实将您的数据移交给了警察,它通常会通知您这种情况。当然,如果法律禁止这样做,则不适用。更令人担忧的是,Slack不会通知从事非法行为的人或被认为“存在对人或财产造成伤害危险”的人。

但是,在案件提起诉讼之前,谁将说客户是否从事了非法行为??

黑客可以阅读我的消息吗?

从理论上讲,没有。如前所述,消息在传输过程中和静止时均被加密。实际上,Slack尚未遭受重大数据泄露。然而:

  • 2014年,安全研究员Tanay Sai发现了Slack软件中的错误。这样一来,任何人只要输入该公司的虚假电子邮件地址即可查看该公司的内部Slack团队.
  • 2015年,Slack遭受了为期四天的安全漏洞,黑客可以访问用户的帐户详细信息和密码。幸运的是,该数据已使用bcrypt密码哈希函数进行了哈希处理。这使得黑客极不可能(至不可能的程度)将哈希密码大规模转换为纯文本密码。但是,仍然有可能破解单个密码哈希。在此事件之后,Slack开始为帐户提供(可选)两个因子验证(2FA).
  • 在2017年,Slack披露了一个安全漏洞的发现,该漏洞可能允许黑客以Slack为合法用户的身份登录到Slack。这样,他们就可以完全访问网上论坛的聊天记录,频道和共享文件。据认为,该漏洞是在被恶意攻击者发现和利用之前已修补的.

广告商可以阅读我的消息吗?

好消息在这里-不。 Slack具有基于订阅的业务模型,并且不会从广告中赚钱。 Slack不仅表示没有计划在将来改变这种情况,而且从商业角度讲也没有多大意义。.

人们可能愿意忍受广告和其他侵犯隐私的行为,以在闲暇时间(看着您,Facebook和Google!)获得免费服务。他们不太可能在工作时接受这一点,因为这会对生产率产生负面影响.

结论

Slack并不是为保护隐私而设计的。如果尚未启用“合规性导出”,则您的DM聊天对您的老板是安全的,但所有其他选择均已关闭。一般而言,最好像对待电子邮件一样考虑Slack的问题–如果在公开场合说不安全的话,请不要在Slack上说出来.

我要感谢Gizmodo的Melanie Ehrenkranz,我对他的文章深表歉意.

图片来源:Giorgio Minguzzi /flickr.com/保留部分权利.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me