We use cookies to ensure that we give you the best experience on our website.

您的松弛聊天是私人的吗?

什么是懈怠?

Slack是一些基于云的团队协作工具六百万每天的人。它主要是类似于Skype的即时消息平台。它使您可以与其他团队成员私下交谈,或者与其他团队成员创建并加入更多开放的“渠道”。文件共享,屏幕共享和语音/视频通话功能是内置的。

那我的懈怠对话是私人的吗?

这是一个复杂的问题;请注意,下面几乎所有信息都可以简单地从Slack选择共享的内容中收集。

数据已在运输中和存储时加密,现在Slack支持hipaa和FINRA数据保护标准分别由卫生和金融服务行业要求。

但是,懈怠也不是用端到端加密或者零知识密码学考虑到。数据存储时加密,但Slack保留加密密钥,因此可以访问它。 Slack也是专有的云源产品,因此无法独立审核该软件实际在做什么。

所有这些都意味着我们只需要对它的数据做些什么。

我的老板可以阅读我的消息吗?

这可能是大多数员工最紧迫的问题!答案是...也许。首先,所有管理员都可以在公共渠道上下载所有对话的“标准导出”。这可能是可以预料的,但是与其他团队成员的私人直接消息(DM)对话呢?

好吧,这完全取决于您的老板设置的设置。找出答案:

  1. 在Slack中,转到您的个人资料 - >配置文件和帐户 - >帐户设置 - > Workspace设置。

或只是访问TeamName.slack.com/account/team在您的浏览器中。

  1. 向下滚动到合规性出口。

幸运的是,我的老板无法阅读我的私人消息。 ph!

如果启用了合规性出口,则您的Slack帐户的主要所有者(您的老板)可以下载包含您所有私人对话的zip文件。请注意,默认情况下不启用此选项,并且仅适用于注册Slack Plus计划的老板。

即使那样,他们仍必须提交一个申请,该申请必须由Slack批准。但是,没有关于必须满足哪些标准才能获得此批准的信息。

好消息是,如果尚未启用合规性导出,您的老板就无法偷偷地启用他们。您的老板将无法访问在启用合规导出之前发送的消息。

*2018年3月更新:政策的变化意味着,在有限的情况下,即使使用免费或标准计划,您的老板也可能能够访问私人DMS。

Slack员工可以阅读我的消息吗?

尽管漫长隐私政策安全实践页面,确切的数据稀疏员工可以看到什么,谁能看到它,仍然像泥浆一样清楚。斯洛克告诉Gizmodo我期望的几乎是:员工可以访问您的消息,并在紧急情况下或出于其他“有效,合理的原因”。

但是,没有员工可以“站立访问”(不受限制地访问)对用户数据的数据。 Slack Security Peaco geoff Belknap还向Gizmodo保证:

这是一个非常少数的人,也是一个非常受控的人,这些人我会用这句话为遵循这些过程的能力,使他们进入可能访问数据的地方。”

未经授权的访问呢?

Slack坚持认为,如果未经授权尝试访问用户的数据,则它具有一组协议,该协议将导致警报被触发。 Belknap还指出,“没有故意的工具”可以允许员工访问特定的对话。但是,他确实承认,如果需要,可以建立这种工具。

作为Electronic Frontier Foundation(EFF)的高级职员律师Nate Cardozo注释:

Slack可以以公司内部没有人访问用户数据的方式构建此系统。归结为“相信我们”。这是Uber所说的同一件事,然后他们被裤子放下了它上帝模式。如果您不将其放在电子邮件中,请不要放松。透明

警察可以阅读我的消息吗?

Slack是一家美国公司,因此必须遵守美国执法机构对信息的有效请求。 Slack说,遵守此类请求“要求有效管辖权法院签发的搜查令。”

根据自己的透明度报告涵盖了2017年5月1日至10月31日收到的所有此类请求,只有一个请求导致“内容数据”披露。内容数据包括用户生成的数据,例如公共消息,帖子,文件和DMS。

该报告说Slack没有国家安全信件(NSL)在此期间,但应注意的是,NSL通常伴随插第订单。这将阻止Slack透露它已收到NSL的事实。

如果Slack确实将您的数据移交给警察,通常会将您的情况通知您。当然,如果法律禁止这样做,这当然不适用。更令人担忧的是,Slack不会告知从事非法行为的人,也不会被视为“对人或财产有害的风险”。

但是,直到将案件提交给法庭上,谁应该说客户是否从事非法行为?

黑客可以阅读我的消息吗?

从理论上讲,没有。如前所述,消息在运输和休息时都会加密。实际上,Slack尚未遭受重大数据泄露。然而:

  • 2014年,安全研究人员塔纳·赛(Tanay Sai)在Slack软件中发现了一个错误。这使任何人只需进入该公司的假电子邮件地址即可看到公司的内部休闲团队。
  • 在2015年,Slack遭受了为期四天的安全漏洞,其中用户的帐户详细信息和密码可供黑客访问。幸运的是,这些数据已经哈希使用bcrypt密码哈希功能。这使得黑客不太可能(以至于是不可能的),黑客可以将Hashed密码转换为纯文本。但是,仍然有可能破解单个密码哈希。事件发生后,Slack开始提供(可选)两个因素实质性(2FA)帐户。
  • 2017年,Slack揭示了发现安全漏洞这可以使黑客登录到懈怠,就好像他们是合法的用户一样。然后,他们将完全访问小组的聊天历史记录,频道和共享文件。人们认为,在被恶意攻击者发现和利用之前,脆弱性是修补的。

广告商可以阅读我的消息吗?

好消息在这里 - 不。 Slack具有基于订阅的业务模型,并且没有从广告中赚钱。 Slack不仅说,它没有计划在将来改变这种情况,而且几乎没有商业意义。

人们可能愿意忍受广告和其他隐私入侵,以换取在闲暇时间的免费服务(查看您,Facebook和Google!)。但是,他们在工作时不太可能接受这一点,因为这会对生产率产生负面影响。

结论

Slack不是为了强大的隐私而设计的。如果尚未启用合规性出口,则您的DM聊天对您的老板来说是安全的,但是所有赌注均已关闭。总的来说,最好像您通过电子邮件一样考虑松懈 - 如果在公共场合说话不安全,那就不要在Slack上说出来。

感谢Melanie Ehrenkranz的Gizmodo,我承认他的文章对此表示巨大的债务。

图片来源:Giorgio Minguzzi/flickr.com/保留一些权利。

Related articles