Разделы

ПО Безопасность Бизнес Интернет Веб-сервисы Техника

«Убийца» Skype проворонил доступ к приватным бизнес-переговорам

Проблема с общим доступом к файлам в популярном корпоративном мессенджере Slack, получившем в прессе прозвище «убийца Skype» может привести к утечке данных. Внутри сервиса бывает очень сложно проконтролировать, кому именно предоставлен доступ к тем или иным документам.

Куда делся и откуда взялся

Эксперты фирмы Polyrize обнаружили критическую уязвимость в сервисе Slack, которая позволяет посторонним получать доступ к файлам, выложенным в закрытых каналах для ограниченного круга лиц.

Slack является одним из самых популярных в мире мессенджеров и инструментов для осуществления совместной работы: им ежедневно пользуются до 10 млн человек из 600 тыс. организаций по всему миру.

Баг связан с тем, как реализован общий доступ («расшаривание») файлов внутри Slack. Публикации в так называемом «рабочем пространстве» (workspace) могут производиться в открытом канале («разговоре», conversation), доступном для всех, у кого в данном рабочем пространстве есть аккаунт. Существует также вариант публикации файла в приватном канале, куда доступ возможен только по приглашению его администраторов.

По идее, файлы, расшаренные внутри приватного канала, доступны только его текущим пользователям. На практике все обстоит несколько иначе. Эксперты Polyrize обнаружили, что если в приватном канале расшарен файл, опубликованный ранее в другом канале, или разговоре, ограничения на доступ на него не распространяются.

Баг в сервисе Slack грозит утечкой данных

«Поскольку пользователи Slack обладают информацией только о тех приватных каналах, в которых они состоят, владельцы файлов никак не могут узнать, не опубликовали ли их файл в каком-то другом приватном разговоре», — цитирует представителей Polyrize издание TheRegister.

Эксперты отметили, что данную уязвимость можно подтвердить не только через графический интерфейс Slack, но и с помощью API-запросов к сервису относительно целевого файла.

Это нормально

В Slack, по-видимому, не считают проблему чем-то особо серьезным. «Мы понимаем, насколько важна безопасность файлов для пользователей Slack, — говорится в сообщении этой компании. — Описанное характерно только для двух типов файлов: сниппетов и постов (это два варианта обеспечения общего доступа и совместной работы над более крупным контентом в Slack). Большая часть файлов, которые расшариваются в Slack, к этим двум типам не относятся. При обеспечении общего доступа к сниппетам и постам в приватных каналах или прямых сообщениях, только участники каналов и адресаты сообщений могут видеть их или находить через поиск. При публикации сниппетов и постов в публичных каналах, все, кто подключен к рабочему пространству, могут видеть данные публикации или находить их через поиск. Это плановое поведение. Мы признаем, что присутствие кнопки "Unshare" (снятие общего доступа) может сбивать с толку с тех пор, как был изменен способ комментирования под сниппетами и постами. Мы признательны Polyrize за то, что обратили наше внимание на эту проблему. Мы планируем исправить интерфейс, однако модель безопасности при обеспечении общего доступа к сниппетам и постам останется без изменений».

«Судя по комментариям Slack, они не рассматривают это как проблему безопасности конфиденциальных данных, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Хотя по большому счету такое "плановое поведение" открывает весьма существенные возможности для утечек данных. И единственный вариант защититься от этого — жестко контролировать, кому именно предоставляется доступ к каким документам. Или не использовать Slack для этих целей».

Что такое Slack

Slack — это корпоративный мессенджер, созданный Стюартом Баттерфилдом (Stewart Butterfield) и запущенный в феврале 2014 г. Название Slack произошло от словосочетания «Searchable Log of All Conversation and Knowledge», то есть «Журнал бесед и данных с функцией поиска». Slack позволяет участникам команды общаться в каналах, приватных группах и непосредственно друг с другом, а также проводить поиск по содержимому бесед.

Может интегрироваться с такими сервисами как Google Drive, Trello, Dropbox, Box, Heroku, IBM Bluemix, Crashlytics, GitHub, Runscope и Zendesk. В марте 2016 г. в мессенджер были добавлены функции голосовых и видеозвонков, что усилило его позиции в конкуренции со Skype на рынке корпоративных средств коммуникации. В СМИ Slack называют «убийцей» Skype.

Роман Георгиев