Kaj je Slack?

Slack je orodje za sodelovanje v oblaku, ki ga vsakodnevno uporablja približno šest milijonov ljudi. Gre predvsem za platformo za hitra sporočila, podobno kot Skype. Omogoča vam, da se zasebno pogovarjate z drugimi člani skupine ali ustvarite in se pridružite bolj odprti skupini "Kanali" z drugimi člani skupine. Deljenje datotek, skupna raba zaslona in glasovne / video klice so vgrajene.


Tako so tudi moji Slack pogovori zasebni?

To je zapleteno vprašanje; Upoštevajte, da so skoraj vse spodnje informacije izbrane preprosto iz tistega, kar je Slack izbral za skupno rabo.

Podatki so šifrirani med prevozom in shranjeni, Slack pa zdaj podpira standarde varstva podatkov HIPAA in FINRA, ki jih zahtevata zdravstvena in finančna industrija..

Slack pa tudi ni bil zasnovan s šifriranjem od konca do konca ali kriptografijo z ničelnim znanjem. Podatki so šifrirani, kadar so shranjeni, vendar Slack drži šifrirne ključe in lahko do njih dostopa. Slack je tudi lastniški izdelek v oblaku, zato ni možnosti, da bi neodvisno revidirali, kaj programska oprema pravzaprav počne.

Vse to pomeni, da moramo samo sprejeti besedo Slack za to, kar počne z našimi podatki.

Lahko moj šef bere moja sporočila?

To je verjetno najbolj pereče vprašanje večine zaposlenih! In odgovor je ... mogoče. Za začetek lahko vsi skrbniki prenesejo "standardni izvoz" vseh pogovorov na javnih kanalih. To je verjetno pričakovati, kaj pa zasebni pogovori z neposrednim sporočilom (DM) z drugimi člani ekipe?

No, vse je odvisno od nastavitev vašega šefa. Izvedeti:

  1. V Slack pojdite na svoj profil -> Profil in račun -> Nastavitve računa -> Nastavitve delovnega prostora.

Ali pa preprosto obiščite teamname.slack.com/account/team v svojem brskalniku.

  1. Pomaknite se navzdol do Izvoza skladnosti.

Na srečo zame šef ne more brati mojih zasebnih sporočil. Phew!

Če je omogočen izvoz skladnosti, lahko primarni lastnik vašega ohlapnega računa (vaš šef) prenese zip datoteko, ki vsebuje vse vaše zasebne pogovore. Upoštevajte, da ta možnost privzeto ni omogočena in je na voljo samo šefom, ki se prijavijo na načrt Slack Plus.

Že takrat morajo predložiti vlogo, ki jo mora odobriti Slack. Vendar ni na voljo nobenih informacij o tem, kakšna merila morajo biti izpolnjena.

Dobra novica je, da če izvozni skladnost še ni omogočen, ga vaš šef ne more prikradeti, ne da bi vedeli. * Če je funkcija Izvoza skladnosti vklopljena, ko je bila predhodno izklopljena, boste prejeli obvestilo o Slackbot-u. Vaš šef ne bo mogel dostopati do sporočil, poslanih pred omogočanjem izvoza skladnosti.

* Posodobite marec 2018: sprememba pravilnika pomeni, da bo pod določenimi pogoji vaš šef lahko dostopal do zasebnih DM-jev, tudi ko uporablja brezplačne ali standardne načrte.

Ali lahko osebje Slack bere moja sporočila?

Kljub dolgotrajnim stranem o politiki zasebnosti in varnostnih praksah ostaja natančno to, kar lahko vidijo zaposleni v Slacku in kdo jih lahko vidi. Slack je Gizmodu povedal v bistvu tisto, kar bi pričakoval: Zaposleni lahko dostopajo do vaših sporočil in bodo to storili v nujnih primerih ali iz drugih "veljavnih, opravičljivih razlogov".

Noben zaposleni pa nima „stalnega dostopa“ (neomejen dostop) do podatkov uporabnikov. Šef slack varnosti Geoff Belknap je Gizmodo tudi zagotovil, da:

"To je zelo majhno število in zelo nadzorovano število ljudi, ki bi lahko opredelili kot zmožnost slediti postopku, ki jih postavi na mesto, kjer bi lahko imeli dostop do podatkov."

Kaj pa nepooblaščen dostop?

Slack vztraja, da ima na voljo sklop protokolov, ki bi sprožil alarme, če bi se nepooblaščen poskus dostopa do podatkov uporabnikov. Belknap je še izjavil, da "ni zgrajeno namerno orodje", ki bi zaposlenim omogočalo dostop do določenih pogovorov. Vendar je priznal, da je takšno orodje mogoče izdelati, če bo potrebno.

Kot ugotavlja Nate Cardozo, starejši uslužbenec pri Fundaciji Electronic Frontier (EFF):

»Slack bi lahko ta sistem zgradil tako, da nihče v podjetju ni imel dostopa do uporabniških podatkov. To je tisto, kar je povedal Uber, nato pa so jih z božjim načinom ujeli s hlačami. Če ga ne bi dali v e-pošto, ne vstavite v Slack. "

Ali lahko policija prebere moja sporočila?

Slack je ameriško podjetje, zato mora izpolnjevati veljavne zahteve po informacijah ameriških organov pregona. Slack pravi, da izpolnjevanje takšnih zahtev "zahteva nalog za preiskavo, ki ga je izdalo pristojno sodišče."

Glede na lastno poročilo o preglednosti, ki zajema vse tovrstne zahteve, prejete od 1. maja do 31. oktobra 2017, je bila razkrita le ena zahteva, ki so razkrile „podatke o vsebini“. Podatki o vsebini vključujejo uporabniško ustvarjene podatke, kot so javna in zasebna sporočila, objave, datoteke in DM-ji.

Ohlapnost 3

Poročilo pravi, da Slack v tem obdobju ni prejel nobenih nacionalnih varnostnih pisem (NSL), vendar je treba opozoriti, da NSL običajno spremljajo naročila. To bi Slacku preprečilo razkritje dejstva, da je prejel NSL.

Če Slack vaše podatke preda policiji, vas običajno obvesti o situaciji. To seveda ne velja, če je to zakonsko prepovedano. Še bolj zaskrbljujoče je, da Slack ne bo obveščal ljudi, ki se ukvarjajo z nezakonitim ravnanjem, ali tam, kjer se šteje, da "obstaja nevarnost škode za ljudi ali premoženje."

Vse dokler se zadeva ne sproži pred sodiščem, ki naj pove, ali je stranka v nezakonito ravnanje?

Ali lahko hekerji berejo moja sporočila?

V teoriji ne. Kot smo že omenili, so sporočila šifrirana tako med prevozom kot v mirovanju. V praksi Slack še ni utrpel večje kršitve podatkov. Vendar:

  • Leta 2014 je varnostni raziskovalec Tanay Sai odkril napako v programski opremi Slack. To je vsem omogočilo ogled notranjih Slack-jevih podjetij samo z vnosom lažnega e-poštnega naslova za to podjetje.
  • Leta 2015 je Slack utrpel štiridnevno kršitev varnosti, v kateri so hekerji bili dostopni do podatkov o računu in gesel uporabnikov. Na srečo so bili ti podatki zmešani z uporabo funkcije branjenja gesla bcrypt. Zaradi tega je malo verjetno (do te mere, da je to nemogoče), da bi hekerji množično pretvorili razstavljena gesla v navadna besedilna. Še vedno pa bi bilo mogoče razbiti posamezne šifre gesla. Po tem incidentu je Slack začel ponujati (neobvezno) dve faktorski avtentikaciji (2FA) za račune.
  • Leta 2017 je Slack razkril odkritje varnostne ranljivosti, ki bi lahko hekerju omogočila prijavo v Slack, kot da bi bil zakonit uporabnik. Nato bi imeli popoln dostop do zgodovine klepetov, kanalov in datotek v skupni rabi skupine. Verjame, da je bila ranljivost zakrpana, preden so jo zlonamerni napadalci odkrili in izkoristili.

Ali lahko oglaševalci berejo moja sporočila?

Dobre novice tukaj - ne. Slack ima poslovni model, ki temelji na naročnini, in ne zasluži denarja z oglaševanjem. Slack je povedal, da ne načrtuje, da bi se to stanje v prihodnosti spremenilo, ampak ima tudi malo poslovnega smisla.

Ljudje bodo morda pripravljeni, da se v prostem času (ob pogledu na vas, Facebooka in Googla!) V zameno za brezplačno storitev zamenjajo za oglase in druge vdore v zasebnost. Tega verjetno ne bodo sprejeli med delom, saj bi to negativno vplivalo na produktivnost.

Zaključek

Slack ni bil zasnovan za močno zasebnost. Če Izvoz skladnosti ni bil omogočen, potem so vaši klepeti DM varni pred šefom, vendar so vse stave v nasprotnem primeru izključene. Na splošno je verjetno, da o Slacku razmišljate tako, kot bi ga poslali po e-pošti - če nekaj ni varno povedati v javnosti, potem tega ne povejte na Slacku.

Zahvaljujem se Melanie Ehrenkranz iz podjetja Gizmodo, kateremu članku priznavam velik dolg.

Kreditna slika: Giorgio Minguzzi /flickr.com/Neke pravice so pridržane.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me