de todo un poco

¿Qué pasa si todos tus chats flojos fueron filtrados?

A menos que la empresa realice cambios en sus políticas de encriptación y retención, el uso de Slack podría poner en riesgo sus datos.

Por Gennie Gebhart
La Sra. Gebhart es la directora asociada de investigación de la Electronic Frontier Foundation.

Slack es uno de los muchos unicornios de Silicon Valley que se harán públicos este año, pero es el único que ha admitido que está en riesgo de ataques de estado-nación. En los formularios S-1 presentados ante la Comisión de Bolsa y Valores, Uber, Lyft, Pinterest y Snapchat abordaron amenazas que podrían reducir el precio de sus acciones, incluidos malware, phishing, empleados descontentos y ataques de denegación de servicio, pero solo Slack destacó explícitamente “estados-nación” como una amenaza potencial.

De acuerdo con el formulario S-1 de Slack, la compañía enfrenta amenazas de “actores sofisticados del crimen organizado, nación-estado y nación-estado”. La compañía reconoce que sus medidas de seguridad “pueden no ser suficientes para proteger a Slack y nuestros sistemas internos y redes contra ciertos ataques “, y evalúa correctamente que es” virtualmente imposible “que la empresa elimine completamente el riesgo de un ataque de estado-nación.

Pero es posible que Slack minimice ese riesgo. O lo sería, si Slack les diera a todos sus usuarios la capacidad de decidir qué información debería mantener Slack y qué información debería eliminar.

En este momento, Slack almacena todo lo que hace en su plataforma de forma predeterminada: su nombre de usuario y contraseña, cada mensaje que ha enviado, cada almuerzo que ha planeado y cada decisión confidencial que ha tomado. Los datos no están cifrados de extremo a extremo, lo que significa que Slack puede leerlos, las autoridades pueden solicitarlos, y los piratas informáticos, incluidos los actores del estado-nación destacados en el S-1 de Slack, pueden ingresar y robarlos.

Slack se comercializa y utiliza ampliamente en entornos comerciales, por lo que los servidores de la compañía tienen un tesoro de información valiosa y patentada. Los clientes empresariales que pagan de Slack tienen una forma de mitigar su riesgo de seguridad: pueden cambiar su configuración para establecer períodos de retención más cortos y eliminar automáticamente los mensajes antiguos, pero no solo las grandes empresas están en riesgo.

[Si está en línea y, bueno, sí lo está, es probable que alguien esté usando su información. Te diremos lo que puedes hacer al respecto. Suscríbase a nuestro boletín de noticias de gestión limitada.]

Los usuarios de Slack incluyen organizadores comunitarios, organizaciones políticas, periodistas y sindicatos. En la Electronic Frontier Foundation, donde trabajo, colaboramos con activistas, reporteros y otros en su privacidad y seguridad digital, y hemos notado que estos usuarios están gravitando cada vez más hacia el producto gratuito de Slack.

Y eso es lo que hace que la advertencia de la empresa a los inversores sea particularmente alarmante: las cuentas de clientes gratuitas no permiten ningún cambio en la retención de datos. En su lugar, Slack conserva todos tus mensajes, pero solo te permite ver los 10,000 más recientes. Todo lo que supere ese límite de 10,000 mensajes permanece en los servidores de Slack. Entonces, si bien esos mensajes parecen estar fuera de la vista y fuera de la mente, todos siguen estando disponibles de forma indefinida para Slack, los agentes de la ley y los hackers de terceros.

admin

Autor desde:  23/09/2018

Deja una comentario o respuesta