D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
На этой неделе разработчики корпоративного мессенджера Slack анонсировали новую функцию Connect DM, которая позволяет отправлять сообщения напрямую любому пользователю Slack в любой организации. Разработчики позиционировали ее, как новый и удобный способ для связи с бизнес-партнерами.
Однако новая функциональность, включенная по умолчанию, совершенно не понравилась пользователям и ИБ-экспертам. Дело в том, что даже если у пользователя отключена функция Connect DM, он все равно будет получать email-уведомления и сообщения от всех, кто пытался связаться с ним, включая случайных людей, которые могут злоупотреблять этой функций, чтобы просто отправить кому-то порцию оскорблений. Хуже того, посторонние люди вдруг получили возможность обращаться напрямую к сотрудникам любых компаний и приглашать их в приватные чаты, где те могли подвергнуться фишинговым атакам и пострадать от социальной инженерии.
Реакция сообщества последовала незамедлительно. Так, в Twitter несколько экспертов по безопасности писали, что этой функцией можно злоупотреблять не только ради фишинга или распространения малвари, ее также можно использовать для рассылки спама и преследования конкретных людей. Проблема в том, что у пользователей не было никаких механизмов для блокирования подобных сообщений и даже возможности сообщить о злоупотреблениях администратору.
https://twitter.com/x/status/1374737695444901891
https://twitter.com/x/status/1374777625726525441
Из-за этого компании стали массово отключать Connect DM, а ИБ-специалисты советовали пользоваться этой функцией только вместе со строгими списками контроля доступа, позволяющими контролировать, какие сотрудники могут участвовать в межорганизационных чатах.
Журналисты издания Vice Motherboard связались с представителями Slack и спросили, что те намерены делать с возникшими проблемами. В компании признали, что допустили ошибку:
При этом представитель Slack отказался сообщить, планирует ли компания доработать Slack Connect DM в целом и, например, добавить столь необходимую функцию блокировки. В компании заявили, что с 2016 года в Slack действует команда Trust & Safety, однако Slack снимает с себя ответственность за модерирование своей платформы, перекладывая ее на компании, которые ею пользуются.
Источник: xakep.ru/2021/03/25/slack-connect-dm/
Однако новая функциональность, включенная по умолчанию, совершенно не понравилась пользователям и ИБ-экспертам. Дело в том, что даже если у пользователя отключена функция Connect DM, он все равно будет получать email-уведомления и сообщения от всех, кто пытался связаться с ним, включая случайных людей, которые могут злоупотреблять этой функций, чтобы просто отправить кому-то порцию оскорблений. Хуже того, посторонние люди вдруг получили возможность обращаться напрямую к сотрудникам любых компаний и приглашать их в приватные чаты, где те могли подвергнуться фишинговым атакам и пострадать от социальной инженерии.
Реакция сообщества последовала незамедлительно. Так, в Twitter несколько экспертов по безопасности писали, что этой функцией можно злоупотреблять не только ради фишинга или распространения малвари, ее также можно использовать для рассылки спама и преследования конкретных людей. Проблема в том, что у пользователей не было никаких механизмов для блокирования подобных сообщений и даже возможности сообщить о злоупотреблениях администратору.
https://twitter.com/x/status/1374737695444901891
https://twitter.com/x/status/1374777625726525441
Из-за этого компании стали массово отключать Connect DM, а ИБ-специалисты советовали пользоваться этой функцией только вместе со строгими списками контроля доступа, позволяющими контролировать, какие сотрудники могут участвовать в межорганизационных чатах.
Журналисты издания Vice Motherboard связались с представителями Slack и спросили, что те намерены делать с возникшими проблемами. В компании признали, что допустили ошибку:
При этом представитель Slack отказался сообщить, планирует ли компания доработать Slack Connect DM в целом и, например, добавить столь необходимую функцию блокировки. В компании заявили, что с 2016 года в Slack действует команда Trust & Safety, однако Slack снимает с себя ответственность за модерирование своей платформы, перекладывая ее на компании, которые ею пользуются.
Источник: xakep.ru/2021/03/25/slack-connect-dm/