O novo recurso do Slack Connect DM atraiu uma enxurrada de críticas

Slack Connect DM feature

Esta semana, desenvolvedores do Slack Messenger anunciado um novo recurso Connect DM que permite enviar mensagens diretamente para qualquer usuário do Slack em qualquer organização. Os desenvolvedores posicionaram-no como uma forma nova e conveniente de comunicação com parceiros de negócios.

No entanto, usuários e especialistas em segurança cibernética não gostaram da nova funcionalidade incluída por padrão. O fato é que mesmo que o usuário tenha o Connect DM desabilitado, ele ainda receberá notificações por e-mail e mensagens de todos que tentaram contatá-lo, incluindo pessoas aleatórias que podem abusar desse recurso apenas para enviar a alguém uma porção de insultos.

Pior ainda, de repente, pessoas de fora puderam falar diretamente com funcionários de qualquer empresa e convidá-los para bate-papos privados, onde poderiam ser submetidos a ataques de phishing e sofrer engenharia social.

A reação da comunidade foi imediata. Por exemplo, no Twitter, vários especialistas em segurança escreveram que esta função pode ser abusada não apenas para phishing ou propagação de malware, também pode ser usado para enviar spam e assediar pessoas específicas. O problema é que os usuários não tinham nenhum mecanismo para bloquear tais mensagens e até mesmo a capacidade de denunciar abusos ao administrador.

Se alguém em um Slack gratuito *sempre* aceitar um convite de DM cruzado do Slack, mesmo que essa conexão seja revogada posteriormente, qualquer pessoa naquele outro Slack pode encontrar para sempre todos os membros daquele Slack gratuito e ver seus perfis. Não há como alguém executando um Slack gratuito desligar isso. o ativista Tom Lowenthal tuitou.

Devido a esta, as empresas começaram a desativar massivamente o Connect DM, e especialistas em segurança da informação aconselharam o uso desta função apenas em conjunto com listas de controle de acesso rigorosas que permitem controlar quais funcionários podem participar de chats interorganizacionais.

O Vice-Placa-Mãe entrou em contato com os representantes do Slack e perguntou o que pretendem fazer com os problemas que surgiram.

A empresa admitiu que cometeu um erro:

Após a implantação do Slack Connect DM, recebemos comentários valiosos de nossos usuários de que convites por e-mail para usar esse recurso poderiam ser usados ​​para enviar mensagens ofensivas ou irritantes. Já estamos tomando medidas imediatas para evitar esse tipo de abuso: a partir de hoje, removemos a opção de personalizar mensagens de convite em que um usuário convida alguém para participar do Slack Connect DM. Na implementação inicial de [novo recurso], cometemos um erro incompatível com nossos objetivos de produto e com nossa experiência normal no Slack Connect.Slack's vice president of communications and policy Jonathan Prince said.

Ao mesmo tempo, um porta-voz do Slack se recusou a dizer se a empresa planeja finalizar o Slack Connect DM como um todo e, por exemplo, adicione um recurso de bloqueio muito necessário. A empresa disse que o Trust&A equipe de segurança opera no Slack desde 2016, mas o Slack se isenta da responsabilidade de moderar sua plataforma, transferindo-o para as empresas que o utilizam.

Deixe-me lembrá-lo disso Pesquisador descobriu vulnerabilidade no Telegram, que permite localizar o usuário.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *