La nueva característica de Slack Connect DM generó un aluvión de críticas

Slack Connect DM feature

Esta semana desarrolladores de Slack Messenger Anunciado una nueva función Connect DM que permite enviar mensajes directamente a cualquier usuario de Slack en cualquier organización. Los desarrolladores lo posicionaron como una forma nueva y conveniente de comunicarse con socios comerciales..

Sin embargo, A usuarios y expertos en ciberseguridad no les gustó la nueva funcionalidad incluida por defecto. El hecho es que incluso si el usuario tiene Connect DM deshabilitado, seguirá recibiendo notificaciones por correo electrónico y mensajes de todos los que intentaron contactarlo, incluidas personas aleatorias que pueden abusar de esta función para simplemente enviarle a alguien una porción de insultos.

Peor aún, De repente, los forasteros pudieron hablar directamente con los empleados de cualquier empresa e invitarlos a chats privados., donde podrían ser objeto de ataques de phishing y sufrir ingeniería social.

La reacción de la comunidad fue inmediata. Por ejemplo, en Twitter, Varios expertos en seguridad escribieron que se puede abusar de esta función no solo para realizar phishing o difundir malware, También se puede utilizar para enviar spam y acosar a personas específicas.. El problema es que los usuarios no tenían ningún mecanismo para bloquear dichos mensajes e incluso la capacidad de reportar abusos al administrador..

Si alguien en un Slack gratuito *alguna vez* acepta una invitación de DM entre Slack, incluso si esa conexión es revocada más tarde, Cualquiera en ese otro Slack puede encontrar para siempre a todos los miembros de ese Slack gratuito y ver sus perfiles.. No hay forma de que alguien que ejecute Slack gratuito desactive esto. el activista Tom Lowenthal tuiteó.

Debido a esto, las empresas comenzaron a desactivar masivamente Connect DM, y los especialistas en seguridad de la información recomendaron utilizar esta función solo junto con listas estrictas de control de acceso que le permitan controlar qué empleados pueden participar en chats interorganizacionales..

Vice Placa base se puso en contacto con los representantes de Slack y les preguntó qué piensan hacer con los problemas que han surgido..

La empresa admitió que cometieron un error.:

Tras la implementación de Slack Connect DM, Recibimos comentarios valiosos de nuestros usuarios sobre que las invitaciones por correo electrónico para usar esta función podrían usarse para enviar mensajes ofensivos o molestos.. Ya estamos tomando medidas inmediatas para prevenir este tipo de abuso.: a partir de hoy, Hemos eliminado la opción de personalizar los mensajes de invitación en los que un usuario invita a alguien a unirse a Slack Connect DM.. En el lanzamiento inicial de [nueva caracteristica], Cometimos un error que es incompatible con los objetivos de nuestro producto y nuestra experiencia normal de Slack Connect..Slack's vice president of communications and policy Jonathan Prince said.

Al mismo tiempo, un portavoz de Slack se negó a decir si la compañía planea finalizar Slack Connect DM en su conjunto y, por ejemplo, agregar una función de bloqueo muy necesaria. La compañía dijo que el Trust&El equipo de seguridad ha estado operando en Slack desde 2016, pero Slack se exime de responsabilidad por moderar su plataforma, transfiriéndolo a las empresas que lo utilizan.

Déjame recordarte que Investigador descubrió vulnerabilidad en Telegram, que permite localizar al usuario.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *