We use cookies to ensure that we give you the best experience on our website.

您的 Slack 聊天是私密的嗎?

什麼是鬆弛?

Slack 是一些人使用的基於雲的團隊協作工具六百萬人們每天。它主要是一個類似於 Skype 的即時通訊平台。它允許您與其他團隊成員私下交談,或者與其他團隊成員創建並加入更開放的群組“頻道”。內置文件共享、屏幕共享和語音/視頻通話功能。

這是一個複雜的問題;請注意,下面幾乎所有信息都是從 Slack 選擇共享的內容中收集的。

數據在傳輸和存儲時都經過加密,Slack 現在支持健康保險流通與責任法案和 FINRA 數據保護標準分別滿足健康和金融服務行業的要求。

然而,Slack 也不是用端到端加密或者零知識密碼學記住。數據存儲時已加密,但 Slack 持有加密密鑰,因此可以訪問它。 Slack 也是一個專有的雲源產品,因此無法獨立審核該軟件實際在做什麼。

所有這些意味著我們只能相信 Slack 所說的它對我們數據的處理方式。

我的老闆可以閱讀我的消息嗎?

這可能是大多數員工最緊迫的問題!答案是……也許吧。首先,所有管理員都可以在公共渠道上下載所有對話的“標準導出”。這可能是預料之中的,但是與其他團隊成員的私人直接消息 (DM) 對話又如何呢?

嗯,這完全取決於你的老闆所進行的設置。找出答案:

  1. 在 Slack 中,轉到您的個人資料 -> 個人資料和帳戶 -> 帳戶設置 -> 工作區設置。

或者只是訪問隊名瀏覽器中的 .slack.com/account/team。

  1. 向下滾動到合規導出。

對我來說幸運的是,我的老闆無法閱讀我的私人消息。唷!

如果啟用了合規性導出,則您的 slack 帳戶的主要所有者(您的老闆)可以下載包含您所有私人對話的 zip 文件。請注意,此選項默認情況下不啟用,並且僅適用於註冊 Slack Plus 計劃的老闆。

即便如此,他們也必須提交一份申請,並必須得到 Slack 的批准。然而,目前還沒有關於必須滿足哪些標準才能獲得批准的信息。

好消息是,如果合規性導出尚未啟用,您的老闆就無法在您不知情的情況下偷偷啟用它們。 *如果合規性導出功能在之前關閉時打開,您將收到 Slackbot 通知。您的老闆將無法訪問在啟用合規性導出之前發送的消息。

*2018 年 3 月更新:政策的變化意味著在有限的情況下,即使使用免費或標準計劃,您的老闆也可能能夠訪問私人 DM。

Slack 工作人員可以閱讀我的消息嗎?

儘管有漫長的隱私政策安全實踐頁面上的數據,Slack 工作人員到底能看到哪些數據,以及誰能看到這些數據,仍然一目了然。斯萊克告訴吉茲莫多幾乎符合我的預期:員工可以訪問您的消息,並且會在緊急情況下或出於其他“有效、正當的原因”這樣做。

然而,沒有員工可以“長期訪問”(不受限制的訪問)用戶的數據。 Slack 安全主管 Geoff Belknap 也向 Gizmodo 保證:

我認為,只有極少數人有能力遵循將他們置於可能訪問數據的位置的流程,而且數量受到嚴格控制。 ”

未經授權的訪問怎麼辦?

Slack 堅稱,它有一套協議,如果未經授權嘗試訪問用戶數據,就會觸發警報。貝爾納普還表示,“沒有特意構建工具”來允許員工訪問特定的對話。不過,他確實承認,如果需要的話,可以構建這樣的工具。

正如電子前沿基金會 (EFF) 高級律師 Nate Cardozo 指出的那樣:

Slack 可以以一種公司內部任何人都無法訪問用戶數據的方式構建這個系統。歸根結底就是“相信我們”。 Uber 也是這麼說的,然後他們就被抓到了伊思上帝模式。如果您不會將其放入電子郵件中,請不要將其放入 Slack 中。

警察可以讀取我的消息嗎?

Slack 是一家美國公司,因此必須遵守美國執法機構索取信息的有效要求。 Slack 表示,遵守此類要求“需要有具有管轄權的法院簽發的搜查令”。

根據自己的說法透明度報告,涵蓋了 2017 年 5 月 1 日至 10 月 31 日期間收到的所有此類請求,只有一項請求導致“內容數據”被披露。內容數據包括用戶生成的數據,例如公共和私人消息、帖子、文件和私信。

報告稱 Slack 沒有收到國家安全信件(NSL)在此期間,但應該注意的是,NSL 通常伴隨著禁言令。這將防止 Slack 披露其已收到 NSL 的事實。

如果 Slack 確實將您的數據交給警方,它通常會通知您相關情況。當然,如果法律禁止這樣做,則這不適用。更令人擔憂的是,Slack 不會通知從事非法行為或被認為存在“對人員或財產造成傷害的風險”的人。

然而,在案件提交法庭之前,誰能斷定客戶是否有違法行為呢?

黑客可以讀取我的消息嗎?

理論上來說,不會。如前所述,消息在傳輸過程中和靜止時都會被加密。實際上,Slack 尚未遭受重大數據洩露事件。然而:

  • 2014 年,安全研究員 Tanay Sai 發現了 Slack 軟件中的一個錯誤。這使得任何人都可以通過輸入該公司的虛假電子郵件地址來查看該公司的內部 Slack 團隊。
  • 2015 年,Slack 遭受了為期四天的安全漏洞,黑客可以獲取用戶的帳戶詳細信息和密碼。幸運的是,這個數據已經被散列的使用密碼密碼散列函數。這使得黑客不太可能(甚至不可能)將散列密碼大規模轉換為純文本密碼。然而,破解單個密碼哈希值仍然是可能的。此事件發生後,Slack 開始提供(可選)兩因素認證(2FA) 賬戶。
  • 2017 年,Slack 披露了一項發現安全漏洞這可能會讓黑客像合法用戶一樣登錄 Slack。然後他們就可以完全訪問群組的聊天歷史記錄、頻道和共享文件。據信該漏洞在被惡意攻擊者發現和利用之前已被修補。

廣告商可以閱讀我的消息嗎?

好消息是——不。 Slack 擁有基於訂閱的商業模式,並且不從廣告中賺錢。 Slack不僅表示未來沒有計劃改變這種情況,而且這也沒有什麼商業意義。

人們可能願意忍受廣告和其他隱私侵犯,以換取閒暇時的免費服務(看看你、Facebook 和 Google!)。然而,他們在工作時不太可能接受這一點,因為這會對生產力產生負面影響。

結論

Slack 並不是為強大的隱私而設計的。如果尚未啟用合規性導出,那麼您的 DM 聊天對您的老闆來說是安全的,但否則所有的賭注都會失敗。一般來說,最好將 Slack 視為電子郵件——如果在公共場合說某些話不安全,那麼就不要在 Slack 上說。

我感謝梅蘭妮·埃倫克蘭茲 (Melanie Ehrenkranz)吉茲莫多,我非常感謝他的文章。

圖片來源:喬治·明古茲/flickr.com/保留一些權利。

Related articles