Apa itu Slack?

Slack adalah alat kolaborasi tim berbasis cloud yang digunakan oleh sekitar enam juta orang setiap hari. Ini terutama merupakan platform Pesan Instan yang mirip dengan Skype. Hal ini memungkinkan Anda untuk berbicara secara pribadi dengan anggota tim lain, atau untuk membuat dan bergabung dengan lebih banyak "Saluran" grup terbuka dengan anggota tim lainnya. Fitur berbagi file, berbagi layar, dan panggilan suara / video built-in.

Jadi, apakah percakapan Slack saya pribadi?

Ini adalah pertanyaan yang rumit; Perhatikan bahwa hampir semua informasi di bawah ini diperoleh hanya dari apa yang dipilih Slack untuk dibagikan.

Data dienkripsi dalam perjalanan dan saat disimpan, dan Slack sekarang mendukung standar perlindungan data HIPAA dan FINRA yang dibutuhkan oleh masing-masing industri jasa kesehatan dan keuangan.

Slack juga tidak dibangun dengan enkripsi end-to-end atau zero-knowledge cryptography. Data dienkripsi saat disimpan, tetapi Slack menahan kunci enkripsi, dan karenanya dapat mengaksesnya. Slack juga merupakan produk sumber cloud berpemilik, sehingga tidak ada cara untuk mengaudit secara independen apa yang sebenarnya dilakukan perangkat lunak.

Semua itu berarti kita hanya perlu mengambil kata Slack untuk apa yang dilakukannya dengan data kami.


Bisakah bos saya membaca pesan saya?

Ini mungkin pertanyaan paling mendesak dari sebagian besar karyawan! Dan jawabannya adalah ... mungkin. Sebagai permulaan, semua admin dapat mengunduh "ekspor standar" semua percakapan di saluran publik. Ini mungkin diharapkan, tetapi bagaimana dengan percakapan Pesan Langsung Pribadi (DM) dengan anggota tim lainnya?

Yah, itu semua tergantung pada pengaturan apa yang telah dilakukan atasan Anda. Untuk mengetahuinya:

  1. Di Slack, buka Profil Anda -> Profil dan Akun -> Pengaturan akun -> Pengaturan ruang kerja.

Atau cukup kunjungi teamname.slack.com/account/team di browser Anda.

  1. Gulir ke bawah ke Ekspor Kepatuhan.

Beruntung bagi saya, bos saya tidak bisa membaca pesan pribadi saya. Fiuh!

Jika Ekspor Kepatuhan diaktifkan, maka Pemilik Utama dari akun slack Anda (bos Anda) dapat mengunduh file zip yang berisi semua percakapan pribadi Anda. Perhatikan bahwa opsi ini tidak diaktifkan secara default, dan hanya tersedia untuk bos yang mendaftar ke paket Slack Plus.

Bahkan kemudian, mereka harus mengirimkan aplikasi yang harus disetujui oleh Slack. Namun, tidak ada informasi yang tersedia tentang kriteria apa yang harus dipenuhi agar persetujuan ini diberikan.

Berita baiknya adalah jika Ekspor Kepatuhan belum diaktifkan, bos Anda tidak dapat secara diam-diam mengaktifkannya tanpa sepengetahuan Anda. * Jika fitur Ekspor Kepatuhan dihidupkan saat sebelumnya dimatikan, Anda akan mendapatkan notifikasi Slackbot. Bos Anda tidak akan dapat mengakses pesan yang dikirim sebelum Ekspor Kepatuhan diaktifkan.

* Pembaruan Maret 2018: perubahan kebijakan berarti bahwa dalam keadaan terbatas bos Anda mungkin dapat mengakses DM pribadi, bahkan ketika menggunakan paket gratis atau Standar.

Dapatkah staf Slack membaca pesan saya?

Meskipun memiliki halaman Kebijakan Privasi dan Praktek Keamanan yang panjang, data apa yang dapat dilihat oleh anggota staf Slack, dan siapa yang dapat melihatnya, tetap jelas seperti lumpur. Slack memberi tahu Gizmodo apa yang saya harapkan: Karyawan dapat mengakses pesan Anda, dan akan melakukannya dalam keadaan darurat atau karena "alasan [yang] sah dan dapat dibenarkan lainnya."

Namun, tidak ada karyawan yang memiliki "akses berdiri" (akses tidak terbatas) ke data pengguna. Kepala keamanan Slack Geoff Belknap juga meyakinkan Gizmodo bahwa:

"Ini jumlah yang sangat kecil dan jumlah orang yang sangat terkontrol yang memiliki apa yang saya sebut sebagai kemampuan untuk mengikuti proses yang menempatkan mereka di tempat yang berpotensi memiliki akses ke data."

Bagaimana dengan akses tidak sah?

Slack menegaskan bahwa ia memiliki seperangkat protokol di tempat yang akan mengakibatkan alarm dipicu jika upaya yang tidak sah dilakukan untuk mengakses data pengguna. Belknap juga menyatakan bahwa "tidak ada tooling yang disengaja" yang akan memungkinkan karyawan untuk mengakses percakapan tertentu. Dia mengakui, bagaimanapun, bahwa alat semacam itu dapat dibangun jika diperlukan.

Seperti yang dicatat oleh Nate Cardozo, Staf Senior Pengacara di Electronic Frontier Foundation (EFF):

“Slack dapat membangun sistem ini sedemikian rupa sehingga tidak ada seorang pun di dalam perusahaan yang memiliki akses ke data pengguna. Apa yang terjadi adalah, "percayalah pada kami." Itu adalah hal yang sama seperti yang dikatakan Uber dan kemudian mereka tertangkap dengan celana mereka turun dengan mode Tuhan. Jika Anda tidak akan memasukkannya ke email, jangan masukkan ke Slack. "

Bisakah polisi membaca pesan saya?

Slack adalah perusahaan AS, dan karenanya harus mematuhi permintaan informasi yang sah oleh badan penegak hukum AS. Slack mengatakan kepatuhan dengan permintaan semacam itu “membutuhkan surat perintah penggeledahan yang dikeluarkan oleh pengadilan yang berwenang.”

Menurut laporan transparansi sendiri, yang mencakup semua permintaan yang diterima dari 1 Mei hingga 31 Oktober 2017, hanya satu permintaan yang menghasilkan “data konten” yang diungkapkan. Data konten mencakup data yang dibuat pengguna seperti pesan publik dan pribadi, pos, file, dan DM.

Kendur 3

Laporan itu mengatakan bahwa Slack tidak menerima surat keamanan nasional (NSL) selama periode ini, tetapi perlu dicatat bahwa NSL biasanya disertai dengan perintah lelucon. Ini akan mencegah Slack mengungkapkan fakta bahwa ia telah menerima NSL.

Jika Slack memang menyerahkan data Anda kepada polisi, biasanya Slack akan memberi tahu Anda tentang situasinya. Ini tidak berlaku, tentu saja, jika secara hukum dilarang melakukannya. Lebih mengkhawatirkan lagi, Slack tidak akan memberi tahu orang-orang yang terlibat dalam perilaku ilegal, atau jika ada yang dianggap "berisiko membahayakan orang atau properti."

Namun, sampai suatu kasus diajukan ke pengadilan, siapa yang akan mengatakan apakah seorang pelanggan telah terlibat dalam perilaku ilegal?

Bisakah peretas membaca pesan saya?

Secara teori, tidak. Seperti disebutkan sebelumnya, pesan dienkripsi saat transit dan saat diam. Dalam praktiknya, Slack belum mengalami pelanggaran data utama. Namun:

  • Pada 2014, peneliti keamanan Tanay Sai menemukan bug di perangkat lunak Slack. Ini memungkinkan siapa saja untuk melihat tim Slack internal perusahaan hanya dengan memasukkan alamat email palsu untuk perusahaan itu.
  • Pada 2015, Slack mengalami pelanggaran keamanan empat hari di mana detail akun pengguna dan kata sandi dapat diakses oleh peretas. Untungnya, data ini telah hash menggunakan fungsi hashing kata sandi bcrypt. Ini membuatnya sangat tidak mungkin (sampai tidak mungkin) bahwa peretas dapat secara massal mengubah kata sandi hash menjadi teks biasa. Namun, masih mungkin untuk memecahkan hash kata sandi individu. Setelah kejadian ini, Slack mulai menawarkan (opsional) dua otentikasi-faktor (2FA) untuk akun.
  • Pada 2017, Slack mengungkapkan penemuan kerentanan keamanan yang dapat memungkinkan peretas masuk ke Slack seolah-olah mereka adalah pengguna yang sah. Mereka kemudian akan memiliki akses penuh ke riwayat obrolan grup, saluran, dan file bersama. Diyakini kerentanan itu telah ditambal sebelum ditemukan dan dieksploitasi oleh penyerang jahat.

Bisakah pengiklan membaca pesan saya?

Berita baik di sini - tidak. Slack memiliki model bisnis berbasis langganan dan tidak menghasilkan uang dari iklan. Slack tidak hanya menyatakan bahwa ia tidak memiliki rencana untuk situasi ini berubah di masa depan, tetapi juga membuat sedikit akal bisnis.

Orang-orang mungkin bersedia memasang iklan dan invasi privasi lainnya dengan imbalan layanan gratis selama waktu luang mereka (melihat Anda, Facebook, dan Google!). Namun, mereka tidak mungkin menerima ini ketika bekerja, karena akan berdampak negatif pada produktivitas.

Kesimpulan

Slack tidak dirancang untuk privasi yang kuat. Jika Ekspor Kepatuhan belum diaktifkan maka obrolan DM Anda aman dari atasan Anda, tetapi semua taruhan dibatalkan. Secara umum, mungkin yang terbaik adalah menganggap Slack seperti yang Anda kirimi email - jika ada sesuatu yang tidak aman untuk dikatakan di depan umum, maka jangan katakan di Slack.

Terima kasih saya kepada Melanie Ehrenkranz dari Gizmodo, yang artikelnya saya akui memiliki hutang besar.

Kredit Gambar: Giorgio Minguzzi /flickr.com/Beberapa hak dilindungi undang-undang.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me