Slack A. Plataforma de mensagens públicas esta manhã Com a implantação mais ampla do novo recurso de mensagem direta nas empresas, ela já está tomando medidas para mitigar os riscos de operar tal plataforma sem proteções moderadas bem planejadas.
A empresa diz em resposta a Preocupações de que o recurso possa ser usado para enviar mensagens ofensivas ou de assédio com relativa facilidade, A opção de enviar uma mensagem ao lado de um convite agora está desativada. Dessa forma, se alguém souber seu endereço de e-mail, não poderá enviar mensagens indesejadas para sua caixa de entrada com mensagens potencialmente ofensivas.
“Após a introdução dos DMs do Slack Connect esta manhã, recebemos comentários valiosos de nossos usuários sobre como usar convites por e-mail para usar o recurso para enviar mensagens ofensivas ou de assédio. Estamos tomando medidas imediatas para evitar esse tipo de abuso, começando hoje por removendo a capacidade de personalizar uma mensagem quando um usuário convida alguém What to Slack Connect DMs ”, disse Jonathan Prince, vice-presidente de comunicações e políticas da empresa. A beira.
Os recursos de segurança do Slack Connect e os controles administrativos robustos são uma parte importante de seu valor para usuários individuais e suas organizações. Cometemos um erro com esta postagem inicial que não se alinhava aos nossos objetivos para o produto e à experiência típica de uso do Slack Connect. Como sempre, somos gratos a todos que falaram e temos o compromisso de corrigir esse problema. ”
Interesse geral, Foi levantado pela primeira vez pelo funcionário do Twitter, Menotti MinutilloO recurso não contém proteção de cancelamento de assinatura forte para usuários individuais e não há maneira de evitar facilmente que as pessoas enviem e-mails indesejados com convites por e-mail. Superficialmente, isso parece benigno; Se alguém quiser assediá-lo e tiver seu endereço de e-mail, definitivamente só poderá enviar spam. Mas o Slack Connect ignora qualquer filtro de entrada de email ou proteção que você possa estar usando, enviando a você um email do endereço [email protected] com um convite DM, junto com o email contendo qualquer mensagem que o remetente decidiu anexar.
Bem, isso foi tão fácil como a merda de abusar
– Envie um convite em linguagem vulgar
– E-mails lentos que você deseja com conteúdo de convite completo
Os e-mails não podem ser bloqueados porque vêm de um endereço de período de carência geral que informa sobre convites
O agressor pode continuar a defender a linguagem abusiva https://t.co/Mw9W5L251a pic.twitter.com/dWEAD7ccRO– minotti menotillo (@ 44) 24 de março de 2021
Isso significa que, se sua organização usar esse recurso, você não poderá filtrá-lo sem medo de perder e-mails importantes no Slack e também não terá uma maneira fácil de cancelar a assinatura. (Não está claro no momento se o recurso pode ser desativado para contas individuais.) TechCrunch Eu mencionei esta manhã O fato de o recurso DM ser compartilhado pelo departamento de TI de uma empresa ou organização para habilitá-lo a seu critério, mas isso não significa que daria ao funcionário individual controle ativo sobre quem pode gerenciar informações diretas. Também não havia filtragem ou vigilância em vigor para detectar se alguém estava enviando uma mensagem de ódio.
Novas preocupações também surgiram, como a capacidade de visualizar grupos do Slack dos quais os indivíduos fazem parte – seja pago ou gratuito – se essa pessoa aceitar um convite de alguém usando o Slack Connect. E embora o Slack Connect seja geralmente projetado para usuários corporativos cujas empresas pagam por recursos premium, o plano Slack padrão com Connect habilitado custa pelo menos US $ 8 por mês por usuário (ou US $ 6,67 por usuário por usuário quando cobrado anualmente). Isso indica que qualquer um poderia explorar esses problemas de maneira fácil e econômica se quisesse, mesmo quando o recurso de mensagem de convite informando que o Slack acabou de ser desativado não existe.
Bem, isso não é apenas um vetor de assédio, mas se você inserir o endereço de e-mail de alguém, eles mostrarão o nome de cada cortesia que usam. Este é um vazamento de informações perigoso e catastrófico: https://t.co/XwLCt8Rl34
Eleanor Saita (Dymaxion) 24 de março de 2021