Kas ir ļengans?

Slack ir uz mākoņiem balstīts komandas sadarbības rīks, ko ikdienā izmanto apmēram seši miljoni cilvēku. Tā galvenokārt ir tūlītējās ziņojumapmaiņas platforma, kas līdzīga Skype. Tas ļauj privāti sarunāties ar citiem komandas dalībniekiem vai arī izveidot un pievienoties atvērtākai grupas “Kanāli” grupai ar citiem komandas dalībniekiem. Failu koplietošana, ekrāna koplietošana un balss / video zvana funkcijas ir iebūvētas.


Tā kā manas klusās sarunas ir privātas?

Šis ir sarežģīts jautājums; Ņemiet vērā, ka gandrīz visa tālāk sniegtā informācija tiek iegūta vienkārši no tā, ko Sluks ir izvēlējies dalīties.

Dati tiek šifrēti tranzītā un saglabāti, un Slack tagad atbalsta HIPAA un FINRA datu aizsardzības standartus, kas nepieciešami attiecīgi veselības un finanšu pakalpojumu nozarē..

Lēnums tomēr netika veidots, paturot prātā visaptverošu šifrēšanu vai nulles zināšanu kriptogrāfiju. Dati tiek šifrēti, kad tie tiek glabāti, taču ļengans tur šifrēšanas atslēgas un tāpēc tiem var piekļūt. Lēnais ir arī patentēts avota produkts, tāpēc nav iespējas patstāvīgi pārbaudīt, ko programmatūra patiesībā dara.

Tas viss nozīmē, ka mums vienkārši jāņem vērā Slukuma vārds par to, ko tas dara ar mūsu datiem.

Vai mans priekšnieks var lasīt manus ziņojumus??

Tas, iespējams, ir visvairāk darbinieku aktuālākais jautājums! Un atbilde ir ... varbūt. Sākumā visi administratori var lejupielādēt “standarta eksportu” visām sarunām publiskajos kanālos. Tas droši vien ir sagaidāms, bet kā ir ar privātām tiešajām ziņām (DM) sarunām ar citiem komandas dalībniekiem?

Nu, viss ir atkarīgs no tā, kādus iestatījumus ir iestatījis jūsu priekšnieks. Lai uzzinātu:

  1. Slīdā dodieties uz savu profilu -> Profils un konts -> Konta iestatījumi -> Darbvietas iestatījumi.

Vai arī vienkārši pārlūkprogrammā apmeklējiet vietni teamname.slack.com/account/team.

  1. Ritiniet uz leju līdz Atbilstības eksports.

Man par laimi mans priekšnieks nevar izlasīt manas privātās ziņas. Phew!

Ja ir iespējota atbilstības eksportēšana, jūsu vājā konta galvenais īpašnieks (jūsu priekšnieks) var lejupielādēt zip failu, kurā ir visas jūsu privātās sarunas. Ņemiet vērā, ka šī opcija nav iespējota pēc noklusējuma, un tā ir pieejama tikai priekšniekiem, kuri parakstās uz plānu Slack Plus.

Pat tad viņiem jāiesniedz pieteikums, kas jāapstiprina Slukam. Tomēr nav pieejama informācija par to, kādi kritēriji ir jāizpilda, lai piešķirtu šo apstiprinājumu.

Labā ziņa ir tā, ka, ja atbilstības eksports vēl nav iespējots, jūsu priekšnieks tos nevar precīzi iespējot, jūs nezinot. * Ja atbilstības eksportēšanas funkcija ir ieslēgta, kad tā iepriekš tika izslēgta, jūs saņemsit paziņojumu par Slackbot. Jūsu priekšnieks nevarēs piekļūt ziņojumiem, kas nosūtīti, pirms ir iespējots atbilstības eksports.

* Atjaunināt 2018. gada martu: izmaiņas politikā nozīmē, ka ierobežotos apstākļos jūsu priekšnieks, iespējams, varēs piekļūt privātiem DM, pat izmantojot bezmaksas vai standarta plānus..

Vai Slack darbinieki var lasīt manus ziņojumus??

Neskatoties uz garajām privātuma politikas un drošības prakses lapām, precīzi tie dati, ko Slack darbinieki var redzēt un kuri tos var redzēt, ir skaidri kā dubļi. Slidens Gizmodo pateica diezgan daudz, ko es gaidītu: Darbinieki var piekļūt jūsu ziņojumiem, un viņi to darīs ārkārtas situācijā vai cita “pamatota, attaisnojoša (-u) iemesla (-u) dēļ”.

Nevienam darbiniekam tomēr nav “pastāvīgas piekļuves” (neierobežota piekļuve) lietotāju datiem. Drošības dienesta priekšnieks Geofs Belknaps arī apliecināja Gizmodo, ka:

"Tas ir ļoti mazs skaits un ļoti kontrolēts cilvēku skaits, kuru, es teiktu, raksturo kā spēju sekot procesam, kas viņus novieto vietā, kurai viņiem, iespējams, ir piekļuve datiem."

Kas par nesankcionētu piekļuvi?

Sluks uzstāj, ka tai ir noteikts protokolu komplekts, kas izraisītu trauksmes signālus, ja tiek mēģināts neatļauti mēģināt piekļūt lietotāju datiem. Belknaps arī paziņoja, ka nav “izveidots neviens apzināts rīks”, kas darbiniekiem ļautu piekļūt noteiktām sarunām. Viņš tomēr atzina, ka šādu instrumentu vajadzības gadījumā var uzbūvēt.

Kā atzīmē Nate Cardozo, Elektronisko robežu fonda (EZF) vecākais advokāts:

“Slack varēja izveidot šo sistēmu tā, ka nevienam uzņēmumam nebija piekļuves lietotāju datiem. Runa ir par “uzticieties mums”. Tas ir tas pats, ko teica Ubers, un tad viņi tika pieķerti ar biksēm Dieva režīmā. Ja jūs to neievietotu e-pastā, nelieciet to vaļīgāk. ”

Vai policija var lasīt manus ziņojumus??

Sluks ir ASV uzņēmums, un tāpēc viņam ir jāizpilda ASV tiesībaizsardzības iestāžu pamatoti informācijas pieprasījumi. Sluks saka, ka, lai izpildītu šādus pieprasījumus, “ir nepieciešams kratīšanas orderis, ko izdevusi kompetentas jurisdikcijas tiesa”.

Saskaņā ar tās pārredzamības ziņojumu, kurā ietverti visi šādi pieprasījumi, kas saņemti no 2017. gada 1. maija līdz 31. oktobrim, tikai viena pieprasījuma rezultātā tika atklāti “satura dati”. Satura datos ietilpst lietotāju ģenerēti dati, piemēram, publiski un privāti ziņojumi, ziņas, faili un DM.

3. ļenganums

Ziņojumā teikts, ka Sluks šajā laikposmā nav saņēmis nacionālās drošības vēstules (NSL), taču jāņem vērā, ka NSL parasti tiek pievienoti rīkojumi par rāvienu. Tas neļautu Slack atklāt informāciju par to, ka tā ir saņēmusi NSL.

Ja Sluks jūsu datus nodod policijai, tā parasti jūs informēs par situāciju. Tas, protams, neattiecas uz gadījumiem, kad to darīt ir likumīgi aizliegts. Vēl satraucošāk ir tas, ka Sluks neinformēs cilvēkus, kuri nodarbojas ar nelikumīgu rīcību vai kur tiek uzskatīts par “kaitējuma risku cilvēkiem vai īpašumam”.

Kamēr lieta nav iesniegta tiesā, kurš tomēr saka, vai klients ir veicis nelikumīgu rīcību?

Vai hakeri var lasīt manus ziņojumus?

Teorētiski nē. Kā minēts iepriekš, ziņojumi tiek šifrēti gan tranzītā, gan miera stāvoklī. Praksē Sluks vēl nav cietis no būtiskiem datu pārkāpumiem. Tomēr:

  • Drošības pētniece Taņa Sai 2014. gadā atklāja kļūdu programmatūrā Slack. Tas ļāva ikvienam redzēt uzņēmuma iekšējās Slack komandas, vienkārši ievadot viltotu šī uzņēmuma e-pasta adresi.
  • 2015. gadā Sluks cieta četru dienu drošības pārkāpumu, kurā hakeriem bija pieejama lietotāju konta informācija un paroles. Par laimi šie dati tika sajaukti, izmantojot bcrypt paroles sajaukšanas funkciju. Tāpēc ir ļoti maz ticams (līdz pat neiespējamībai), ka hackers varētu masveidā pārveidot sajauktas paroles vienkārša teksta parolēs. Tomēr joprojām varētu būt iespējams uzlauzt atsevišķas paroles. Pēc šī gadījuma Sluks sāka piedāvāt (pēc izvēles) divu faktoru autentifikāciju (2FA) kontiem.
  • 2017. gadā Slack atklāja drošības ievainojamības atklāšanu, kas varēja ļaut hakerim pieteikties Slack kā it kā likumīgam lietotājam. Pēc tam viņiem būs pilnīga piekļuve grupas tērzēšanas vēsturei, kanāliem un koplietotajiem failiem. Tiek uzskatīts, ka ievainojamība tika novērota, pirms ļaunie uzbrucēji to bija atklājuši un izmantojuši.

Vai reklāmdevēji var lasīt manus ziņojumus?

Labas ziņas šeit - nē. Slukumam ir uz abonēšanu balstīts biznesa modelis, un tas nopelna nevis no reklāmas. Sluks ir ne tikai paziņojis, ka nākotnē neplāno mainīt šo situāciju, bet arī maznozīmīgi ietekmē uzņēmējdarbību.

Iespējams, ka cilvēki vēlēsies samierināties ar reklāmām un citiem privātuma pārkāpumiem apmaiņā pret bezmaksas pakalpojumu brīvajā laikā (skatoties uz jums, Facebook un Google!). Maz ticams, ka viņi to pieņems, strādājot, jo tas negatīvi ietekmētu produktivitāti.

Secinājums

Liekums nebija paredzēts spēcīgai privātumam. Ja nav iespējots atbilstības eksports, jūsu DM tērzēšana ir droša no jūsu priekšnieka puses, taču visas likmes ir izslēgtas. Kopumā, iespējams, vislabāk ir domāt par Slack kā jūs sūtīt pa e-pastu - ja kaut ko publiski pateikt nav droši, tad nesakiet to Slack.

Es pateicos Melānijai Ehrenkranz no Gizmodo, kuras rakstā es atzīstu lielu parādu.

Attēlu kredīts: Giorgio Minguzzi /flickr.com/Dažas tiesības paturētas.
Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me