Zijn je slack chats privé?

Wat is slack?

Slack is een cloud-gebaseerd team samenwerkingstool dat dagelijks door ongeveer zes miljoen mensen wordt gebruikt. Het is vooral een Instant Messaging-platform vergelijkbaar met Skype. Hiermee kunt u privé praten met andere teamleden, of meer open groepskanalen maken en deelnemen aan andere teamleden. Bestanden delen, scherm delen en spraak- / video-oproepfuncties zijn ingebouwd.


Zo zijn mijn Slack-gesprekken privé?

Dit is een ingewikkelde vraag; Merk op dat bijna alle onderstaande informatie is afgeleid van wat Slack heeft gekozen om te delen.

Gegevens worden versleuteld tijdens het transport en wanneer ze worden opgeslagen, en Slack ondersteunt nu de HIPAA- en FINRA-gegevensbeschermingsnormen die respectievelijk vereist zijn door de gezondheids- en financiële dienstverlening.

Slack werd echter ook niet gebouwd met end-to-end encryptie of nul-kennis cryptografie in gedachten. Gegevens worden gecodeerd wanneer ze worden opgeslagen, maar Slack houdt de coderingssleutels vast en heeft daarom toegang. Slack is ook een gepatenteerd bronproduct in de cloud, dus er is geen manier om onafhankelijk te controleren wat de software doet.

Dat alles betekent dat we gewoon Slack's woord moeten geloven voor wat het doet met onze gegevens.

Kan mijn baas mijn berichten lezen?

Dit is waarschijnlijk de meest prangende vraag van de meeste werknemers! En het antwoord is ... misschien. Om te beginnen kunnen alle beheerders een 'standaard export' van alle conversaties op openbare kanalen downloaden. Dit is waarschijnlijk te verwachten, maar hoe zit het met privé Direct Message (DM) -gesprekken met andere teamleden?

Nou, het hangt allemaal af van welke instellingen je baas heeft ingesteld. Er achter komen:

  1. Ga in Slack naar je profiel -> Profiel en account -> Account instellingen -> Werkruimte-instellingen.

Of bezoek gewoon teamnaam.slack.com/account/team in uw browser.

  1. Blader naar beneden naar Compliance-exporten.

Gelukkig voor mij kan mijn baas mijn privéberichten niet lezen. opluchting!

Als Compliance-exporten zijn ingeschakeld, kan de primaire eigenaar van uw slack-account (uw baas) een zipbestand downloaden met al uw privégesprekken. Merk op dat deze optie niet standaard is ingeschakeld en alleen beschikbaar is voor bazen die zich aanmelden voor het Slack Plus-abonnement.

Zelfs dan moeten ze een aanvraag indienen die door Slack moet worden goedgekeurd. Er is echter geen informatie beschikbaar over de criteria waaraan moet worden voldaan voordat deze goedkeuring kan worden verleend.

Goed nieuws is dat als Compliance Exports nog niet is ingeschakeld, je baas ze niet stiekem kan inschakelen zonder dat je het weet. * Als de functie Compliance Exports is ingeschakeld toen deze eerder was uitgeschakeld, ontvang je een Slackbot-melding. Je baas heeft geen toegang tot berichten die zijn verzonden voordat Compliance-export is ingeschakeld.

* Update maart 2018: een wijziging van het beleid betekent dat je baas onder beperkte omstandigheden mogelijk toegang heeft tot privé-DM's, zelfs wanneer hij de gratis of standaardabonnementen gebruikt.

Kan Slack-personeel mijn berichten lezen?

Ondanks lange pagina's met privacybeleid en beveiligingspraktijken, blijft precies welke gegevens Slack-medewerkers kunnen zien en wie ze kunnen zien, duidelijk als modder. Slack vertelde Gizmodo vrijwel wat ik zou verwachten: werknemers hebben toegang tot uw berichten en zullen dit doen in een noodgeval of om andere "geldige, gerechtvaardigde reden [en]."

Geen enkele werknemer heeft echter "permanente toegang" (onbeperkte toegang) tot de gegevens van gebruikers. Slack beveiligingschef Geoff Belknap verzekerde Gizmodo ook dat:

"Het is een heel klein aantal en een zeer gecontroleerd aantal mensen dat volgens mij de mogelijkheid heeft om een ​​proces te volgen dat hen op een plek zet waar ze mogelijk toegang hebben tot gegevens."

Hoe zit het met ongeautoriseerde toegang?

Slack staat erop dat het een aantal protocollen heeft die ertoe zouden kunnen leiden dat alarmen worden geactiveerd als een ongeautoriseerde poging wordt gedaan om toegang te krijgen tot de gegevens van gebruikers. Belknap verklaarde ook dat er 'geen opzettelijke tooling is gebouwd' waarmee werknemers toegang krijgen tot specifieke gesprekken. Hij gaf echter toe dat een dergelijk hulpmiddel kon worden gebouwd indien nodig.

Zoals Nate Cardozo, merkt Senior Staff Attorney bij de Electronic Frontier Foundation (EFF) op:

“Slack had dit systeem zo kunnen bouwen dat niemand binnen het bedrijf toegang had tot gebruikersgegevens. Waar het op neerkomt is, 'vertrouw ons'. Dat is hetzelfde wat Uber zei en toen werden ze betrapt met hun broek omlaag in de modus God. Als u het niet in e-mail zou plaatsen, zet het dan niet in Slack. "

Kan de politie mijn berichten lezen?

Slack is een Amerikaans bedrijf en moet daarom voldoen aan geldige informatieverzoeken van Amerikaanse wetshandhavingsinstanties. Slack zegt dat het voldoen aan dergelijke verzoeken 'een huiszoekingsbevel vereist dat is uitgegeven door een bevoegde rechtbank'.

Volgens haar eigen transparantieverslag, dat betrekking heeft op al dergelijke verzoeken die zijn ontvangen van 1 mei tot en met 31 oktober 2017, heeft slechts één verzoek ertoe geleid dat "inhoudsgegevens" werden bekendgemaakt. Inhoudsgegevens omvatten door gebruikers gegenereerde gegevens, zoals openbare en privéberichten, berichten, bestanden en DM's.

Slap 3

Het rapport zegt dat Slack in deze periode geen nationale veiligheidsbrieven (NSL's) heeft ontvangen, maar er moet worden opgemerkt dat NSL's doorgaans gepaard gaan met gag-bestellingen. Dit zou voorkomen dat Slack het feit zou onthullen dat het een NSL had ontvangen.

Als Slack uw gegevens aan de politie overhandigt, zal deze u meestal op de hoogte brengen van de situatie. Dit is natuurlijk niet van toepassing als dit wettelijk verboden is. Wat meer zorgwekkend is, is dat Slack geen mensen op de hoogte zal brengen die zich schuldig maken aan illegaal gedrag, of wanneer er sprake is van “risico op schade aan mensen of eigendommen”.

Totdat er echter een zaak voor de rechter is gebracht, die moet zeggen of een klant illegaal gedrag heeft gepleegd?

Kunnen hackers mijn berichten lezen?

In theorie niet. Zoals eerder opgemerkt, worden berichten zowel tijdens het transport als in rust versleuteld. In de praktijk heeft Slack nog geen grote datalek gehad. Echter:

  • In 2014 ontdekte beveiligingsonderzoeker Tanay Sai een bug in de Slack-software. Hierdoor kon iedereen de interne Slack-teams van een bedrijf zien door gewoon een vals e-mailadres voor dat bedrijf in te voeren.
  • In 2015 liep Slack een beveiligingslek van vier dagen op waarbij de accountgegevens en wachtwoorden van gebruikers toegankelijk waren voor hackers. Gelukkig waren deze gegevens gehasht met de bcrypt-wachtwoordhashfunctie. Dit maakt het zeer onwaarschijnlijk (tot op het punt van onmogelijk) dat hackers de gehashte wachtwoorden massaal kunnen omzetten in gewone tekstwachtwoorden. Het kan echter nog steeds mogelijk zijn om afzonderlijke wachtwoordhashes te kraken. Na dit incident begon Slack (optionele) two-factor-authentication (2FA) aan te bieden voor accounts.
  • In 2017 onthulde Slack de ontdekking van een beveiligingsprobleem waardoor een hacker zich bij Slack zou kunnen aanmelden alsof het een legitieme gebruiker was. Ze hebben dan volledige toegang tot de chatgeschiedenis, kanalen en gedeelde bestanden van een groep. Er wordt aangenomen dat het beveiligingslek is hersteld voordat het wordt ontdekt en misbruikt door kwaadwillende aanvallers.

Kunnen adverteerders mijn berichten lezen?

Goed nieuws hier - nee. Slack heeft een op abonnementen gebaseerd bedrijfsmodel en verdient geen geld met adverteren. Slack heeft niet alleen verklaard dat het geen plannen heeft om deze situatie in de toekomst te veranderen, maar het heeft ook weinig zin in zaken.

Mensen zijn misschien bereid om advertenties en andere privacy-invasies te accepteren in ruil voor een gratis service tijdens hun vrije tijd (kijkend naar jou, Facebook en Google!). Het is echter onwaarschijnlijk dat zij dit tijdens het werken accepteren, omdat dit een negatieve invloed op de productiviteit zou hebben.

Conclusie

Slack was niet ontworpen voor een sterke privacy. Als Compliance-export niet is ingeschakeld, zijn je DM-chats veilig voor je baas, maar zijn alle weddenschappen anders uitgeschakeld. Over het algemeen is het waarschijnlijk het beste om aan Slack te denken zoals je zou e-mailen - als iets niet veilig is om in het openbaar te zeggen, zeg het dan niet op Slack.

Mijn dank aan Melanie Ehrenkranz van Gizmodo, voor wiens artikel ik een grote schuld erken.

Image Credit: Giorgio Minguzzi /flickr.com/Sommige rechten voorbehouden.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me