На этой неделе разработчики корпоративного мессенджера Slack анонсировали новую функцию Connect DM, которая позволяет отправлять сообщения напрямую любому пользователю Slack в любой организации. Разработчики позиционировали ее как новый и удобный способ для связи с бизнес-партнерами.

Однако новая функциональность, включенная по умолчанию, совершенно не понравилась пользователям и ИБ-экспертам. Дело в том, что даже если у пользователя отключена функция Connect DM, он все равно будет получать email-уведомления и сообщения от всех, кто пытался связаться с ним, включая случайных людей, которые могут злоупотреблять этой функций, чтобы просто отправить кому-нибудь порцию оскорблений. Хуже того, посторонние люди вдруг получили возможность обращаться напрямую к сотрудникам любых компаний и приглашать их в приватные чаты, где те могли подвергнуться фишинговым атакам и пострадать от социальной инженерии.

Реакция сообщества последовала незамедлительно. Так, в Twitter несколько экспертов по безопасности писали, что этой функцией можно злоупотреблять не только ради фишинга или распространения малвари, ее также можно использовать для рассылки спама и преследования конкретных людей. Проблема в том, что у пользователей не было никаких механизмов для блокирования подобных сообщений и даже возможности сообщить о злоупотреблениях администратору.

Из-за этого компании стали массово отключать Connect DM, а ИБ-специалисты советовали пользоваться этой функцией только вместе со строгими списками контроля доступа, позволяющими контролировать, какие сотрудники могут участвовать в межорганизационных чатах.

Журналисты издания Vice Motherboard связались с представителями Slack и спросили, что те намерены делать с возникшими проблемами. В компании признали, что допустили ошибку:

«После развертывания Slack Connect DM мы получили ценные отзывы от наших пользователей о том, что электронные приглашения к использованию данной функции могут потенциально применяться для отправки оскорбительных или раздражающих сообщений. Мы уже предпринимаем немедленные шаги для предотвращения подобных злоупотреблений: с сегодняшнего дня мы удалили возможность настройки пригласительных сообщений, в которых пользователь приглашает кого-то присоединиться к Slack Connect DM, — заявил Джонатан Принс, вице-президент Slack по коммуникациям и политике. — При первоначальном развертывании [новой функции] мы допустили ошибку, которая несовместима с нашими целями в отношении продукта и нормальным опытом использования Slack Connect».

При этом представитель Slack отказался сообщить, планирует ли компания доработать Slack Connect DM в целом и, например, добавить столь необходимую функцию блокировки. В компании заявили, что с 2016 года в Slack действует команда Trust & Safety, однако Slack снимает с себя ответственность за модерирование своей платформы, перекладывая ее на компании, которые ею пользуются.

Оставить мнение