Kas yra lieknas?

„Slack“ yra debesų pagrindu sukurtas komandos bendradarbiavimo įrankis, kurį kasdien naudoja maždaug šeši milijonai žmonių. Tai visų pirma momentinių pranešimų platforma, panaši į „Skype“. Tai leidžia asmeniškai kalbėtis su kitais komandos nariais arba sukurti ir prisijungti prie atviresnės grupės „Kanalai“ su kitais komandos nariais. Failų, ekrano ir balso / vaizdo skambučių funkcijos yra integruotos.


Taigi mano slapti pokalbiai yra privatūs?

Tai sudėtingas klausimas; Atminkite, kad beveik visa žemiau pateikta informacija yra kaupiama paprasčiausiai iš to, ką Slackas pasirinko bendrinti.

Duomenys yra užšifruojami perduodant ir saugant, o „Slack“ dabar palaiko HIPAA ir FINRA duomenų apsaugos standartus, kurių reikalauja atitinkamai sveikatos ir finansinių paslaugų pramonė..

Tačiau vangumas taip pat nebuvo pastatytas turint galvoje šifravimą nuo galo iki galo arba neturint žinių apie kriptografiją. Duomenys yra užšifruojami, kai jie yra saugomi, tačiau laisvai laikykite šifravimo raktus, todėl jie gali jais naudotis. „Slack“ taip pat yra patentuotas šaltinio produktas, todėl nėra galimybės savarankiškai patikrinti, ką programinė įranga iš tikrųjų daro.

Visa tai reiškia, kad mes tiesiog turime atsižvelgti į Slacko žodį už tai, ką jis daro su mūsų duomenimis.

Ar mano viršininkas gali skaityti mano žinutes??

Tai tikriausiai daugumos darbuotojų klausimas! Ir atsakymas yra ... galbūt. Pirmiausia visi administratoriai gali atsisiųsti visų pokalbių viešuosiuose kanaluose „standartinį eksportą“. Tikriausiai to galima tikėtis, bet ką jau kalbėti apie privačius „Direct Message“ (DM) pokalbius su kitais komandos nariais?

Na, viskas priklauso nuo to, kokius nustatymus nustatė jūsų viršininkas. Sužinoti:

  1. „Slack“ eikite į savo profilį -> Profilis ir sąskaita -> Paskyros nustatymai -> Darbo vietos nustatymai.

Arba tiesiog naršyklėje apsilankykite teamname.slack.com/account/team.

  1. Slinkite žemyn iki „Atitikties eksportas“.

Mano laimei, mano viršininkas negali skaityti mano asmeninių pranešimų. Phew!

Jei įjungtas atitikties eksportas, pagrindinis jūsų silpnos paskyros savininkas (jūsų viršininkas) gali atsisiųsti ZIP failą, kuriame yra visi jūsų asmeniniai pokalbiai. Atminkite, kad ši parinktis neįgalinta pagal numatytuosius nustatymus ir prieinama tik viršininkams, kurie pasirašo prie „Slack Plus“ plano.

Net tada jie turi pateikti paraišką, kurią turi patvirtinti „Slack“. Tačiau informacijos apie tai, kokie kriterijai turi būti įvykdyti, kad būtų suteiktas šis patvirtinimas, nėra.

Geros žinios yra tai, kad jei atitikties eksportas dar neįgalintas, jūsų viršininkas negali jų slapta įjungti, jums nežinant. * Jei atitikties eksporto funkcija įjungta, kai ji anksčiau buvo išjungta, gausite „Slackbot“ pranešimą. Jūsų viršininkas negalės pasiekti pranešimų, išsiųstų prieš įjungiant atitikties eksportą.

* Atnaujinti 2018 m. Kovo mėn.: Pasikeitusi politika reiškia, kad tam tikromis aplinkybėmis jūsų viršininkas gali pasiekti privačius DM, net naudodamasis nemokamais arba standartiniais planais..

Ar „Slack“ darbuotojai gali skaityti mano pranešimus??

Nepaisant ilgų Privatumo politikos ir Saugumo praktikos puslapių, tikslūs duomenys, kuriuos „Slack“ darbuotojai gali pamatyti ir kas juos gali pamatyti, išlieka aiškūs kaip purvas. Slackas beveik pasakė „Gizmodo“ to, ko tikiuosi: darbuotojai gali pasiekti jūsų pranešimus ir tai padarys kritiniu atveju arba dėl kitų „pagrįstų, pateisinamų priežasčių (-ų)“.

Tačiau nė vienas darbuotojas neturi „nuolatinės prieigos“ (neribotos prieigos) prie vartotojų duomenų. Slapto saugumo viršininkas Geoffas Belknapas taip pat patikino „Gizmodo“, kad:

„Tai labai mažas skaičius ir labai kontroliuojamas žmonių skaičius, kurį aš sakyčiau kaip galimybę sekti procesą, kuris nukreipia juos į vietą, kuriai jie gali prieiti prie duomenų“.

O kaip su neteisėta prieiga?

„Slack“ tvirtina, kad turi nustatytą protokolų rinkinį, kuris sukeltų aliarmą, jei būtų neteisėtai bandoma pasiekti vartotojų duomenis. Belknapas taip pat pareiškė, kad nėra sukurta jokių „tyčinių įrankių“, kurie leistų darbuotojams pasiekti konkrečius pokalbius. Tačiau jis pripažino, kad prireikus tokį įrankį būtų galima sukurti.

Kaip pažymi Nate Cardozo, „Electronic Frontier Foundation“ (EFF) vyresnysis advokatas:

„Lėtas“ galėjo sukurti šią sistemą taip, kad niekas iš įmonės neturėjo prieigos prie vartotojo duomenų. Tai reiškia, kad „pasitikėk mumis“. Tas pats pasakė „Uber“ ir tada jie buvo sučiupti su savo kelnėmis Dievo režimu. Jei nedėtumėte jo į el. Laišką, nedėkite „Slack“.

Ar policija gali perskaityti mano žinutes??

„Slack“ yra JAV įmonė, todėl privalo vykdyti galiojančius JAV teisėsaugos institucijų prašymus suteikti informacijos. Lukas sako, kad norint patenkinti tokius prašymus „reikia kratos orderio, išduoto kompetentingos jurisdikcijos teismo“.

Remiantis savo skaidrumo ataskaita, apimančia visus tokius prašymus, gautus nuo 2017 m. Gegužės 1 d. Iki spalio 31 d., Tik vienas prašymas atskleidė „turinio duomenis“. Turinio duomenys apima vartotojo sugeneruotus duomenis, tokius kaip vieši ir privatūs pranešimai, įrašai, failai ir DM.

3 slinkimas

Ataskaitoje teigiama, kad Slack per šį laikotarpį negavo jokių nacionalinio saugumo laiškų (NSL), tačiau reikėtų pažymėti, kad NSL paprastai lydimi gag orderių. Tai neleistų „Slack“ atskleisti fakto, kad ji gavo NSL.

Jei „Slack“ perduos jūsų duomenis policijai, ji paprastai jums praneš apie situaciją. Tai, žinoma, netaikoma, jei tai daryti teisiškai draudžiama. Dar labiau nerimą kelia tai, kad „Slack“ neinformuoja žmonių, kurie užsiima neteisėtu elgesiu arba ten, kur, manoma, yra „žalos žmonėms ar turtui rizika“.

Tačiau kol byla nebus perduota teismui, kas turi pasakyti, ar klientas vykdė neteisėtą elgesį?

Ar įsilaužėliai gali skaityti mano pranešimus?

Teoriškai ne. Kaip minėta anksčiau, pranešimai yra šifruojami tiek perduodant, tiek ramybėje. Praktiškai „Slack“ dar nepatyrė esminio duomenų pažeidimo. Tačiau:

  • 2014 m. Saugumo tyrinėtojas Tanay Sai aptiko programinės įrangos „Slack“ klaidą. Tai leido bet kam pamatyti įmonės vidines „Slack“ komandas tiesiog įvedus suklastotą tos įmonės el. Pašto adresą.
  • 2015 m. „Slack“ patyrė keturių dienų saugumo pažeidimą, per kurį įsilaužėliams buvo prieinama vartotojo sąskaitos informacija ir slaptažodžiai. Laimei, šie duomenys buvo susisteminti naudojant „bcrypt“ slaptažodžio keitimo funkciją. Dėl šios priežasties labai mažai tikėtina (kad tai neįmanoma), kad įsilaužėliai galėtų masiškai konvertuoti maišyti slaptažodžius į paprasto teksto. Vis dėlto vis tiek gali būti įmanoma nulaužti atskiras slaptažodžių grupes. Po šio įvykio „Slack“ pradėjo siūlyti (neprivalomą) dviejų faktorių autentifikavimą (2FA) paskyroms.
  • 2017 m. „Slack“ atskleidė saugos pažeidžiamumą, dėl kurio įsilaužėlis galėjo prisijungti prie „Slack“ taip, tarsi jie būtų teisėtas vartotojas. Tada jie turės visišką prieigą prie grupės pokalbių istorijos, kanalų ir bendrai naudojamų failų. Manoma, kad pažeidžiamumas buvo pataisytas prieš tai, kai jį aptiko ir išnaudojo kenkėjiški užpuolikai.

Ar reklamuotojai gali skaityti mano pranešimus?

Geros naujienos čia - ne. „Slack“ turi prenumeratomis pagrįstą verslo modelį ir neuždirba pinigų iš reklamos. „Slack“ ne tik pareiškė, kad ateityje neketina keisti šios situacijos, bet ir turi mažai prasmės versle.

Žmonės galbūt norės atsisakyti skelbimų ir kitų privatumo pažeidimų mainais į nemokamą paslaugą laisvalaikiu (žiūrėdami į jus, „Facebook“ ir „Google“!). Vargu ar jie to sutiks dirbdami, nes tai turėtų neigiamos įtakos produktyvumui.

Išvada

„Llack“ nebuvo sukurtas stipriam privatumui. Jei atitikties eksportas nebuvo įgalintas, jūsų DM pokalbiai bus apsaugoti nuo jūsų viršininko, tačiau visi statymai bus atšaukti. Apskritai turbūt geriausia apie „Slack“ galvoti taip, kaip el. Paštu - jei ką nors saugu pasakyti viešai, nesakykite to „Slack“.

Dėkoju Melanie Ehrenkranz iš „Gizmodo“, kurios straipsnyje pripažįstu didelę skolą.

Vaizdo kreditas: Giorgio Minguzzi /flickr.com/Kitos teisės saugomos.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me