Корпоративный мессенджер Slack разрешит компаниям скачивать частную переписку работников без их согласия Статьи редакции

Новая функция начнёт работать 20 апреля.

Slack позволит работодателям скачивать частную переписку сотрудников внутри мессенджера без предупреждения. Об этом пишет Gizmodo.

С 2014 года мессенджер позволял владельцам платного аккаунта использовать функцию Compliance Exports. С её помощью владельцы и администраторы аккаунта могли экспортировать данные из общих каналов и приватных чатов. При этом Slack уведомлял участников группы о включении Compliance Exports.

С 20 апреля 2018 года компания изменит правила: теперь владельцы Plus-подписки (стоимостью $15 за человека) и владельцы аккаунта на Slack Enterprise Grid (версии сервиса для крупных компаний) смогут воспользоваться функцией Self-service export tool.

Новая услуга позволит администраторам автоматически скачивать все данные из общедоступного рабочего пространства, а также приватных каналов и личных чатов. При этом пользователи не узнают об использовании этой функции, рассказали Gizmodo представители Slack.

Эта же услуга будет доступна для пользователей бесплатной и стандартной подписок: однако для этого компаниям придётся предоставить сервису документ с описанием причин экспорта (например, решение суда), согласие участников скачиваемой переписки или требование, оформленное по закону, который разрешает это сделать.

В компании уточнили, что изменения в правилах Slack связаны с Общим регламентом по защите данных (General Data Protection Regulation), принятым Европейским парламентом, который вступит в силу в мае 2018 года.

0
33 комментария
Написать комментарий...
sando

"выборы только прошли, а давить по всем фронтам уже начали. тоталитарное государство с тираном у власти.... пора валить"

Ответить
Развернуть ветку
Ленар Сафин

норм)

Ответить
Развернуть ветку
DosboxD

толсто то как

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Егор Мышляев

Почти полгода занимался интеграцией самописных ботов в компании.
Нашёл интересную вещь: бот может подписаться на все сообщения, которые отправляются в мессенджере.
Схема простая: поднимается лямбда, которая сохраняет каждое сообщение в базе, а потом простой скрпит, который перегоняет данные из базы в удобный нам формат.
Никто ничего не узнает, особенно если обозвать приложение, которое этим занимается, как-нибудь неочевидно.
И пользователи не уведомлены, и сообщения слиты.

Ответить
Развернуть ветку
Kirill Pankin

Это изумительно... о_О

Ответить
Развернуть ветку
Егор Мышляев

Это ещё не самое прекрасное.
В API есть возможность отправки сообщений под любым именем пользователя с любой аватаркой.
Единственное отличие от настоящего сообщения будет небольшая надпись BOT рядом с ником отправившего.
Можно и не заметить, знаете ли.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Егор Мышляев

Боту и не нужно быть интегрированным с чатом. Ему нужно быть интегрированным с доменом.
Можно подключить GoogleDockBot, который будет удобно превращать ссылки в документы налету, и TestCompanyBot, который будет следить за сообщениями.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Андрей Фролов

Если бот может читать переписку из личных чатов без дополнительных действий со стороны пользователя, то это выглядит как баг. Не думали поднять денег здесь? https://hackerone.com/slack

Ответить
Развернуть ветку
Егор Мышляев

Я не говорю, что это баг. Это фича, которую пользуют боты.
Схема такая: начальник ставит такого бота и разрешает делать ему всё, что тот захочет. Permissions granted, проблем никаких.

Ответить
Развернуть ветку
Андрей Фролов

Но насколько понимаю, это ненормально, что у бота вообще есть такая возможность читать все сообщения DM, пусть даже с разрешения владельца воркспейса? Или такая функция даже в документации прописана?

Ответить
Развернуть ветку
Егор Мышляев

https://api.slack.com/events/api

channels:history для каналов
im:history для PM
mpim:history для закрытых каналов

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Егор Мышляев

Телега бот != слак бот.
Последнего бота на телеге писал года два назад, но вряд ли оно что-то может прочитать из других ваших сообщений.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alexander Perlamutrov

Это не совсем так просто. Есть список разрешений: https://api.slack.com/scopes
Бот (специальный пользователь приложения) должен запросить (точнее приложение должно запросить для себя или бота-пользователя) у пользователя конкретные права, чтобы, например, иметь доступ к сообщениям этого пользователя в групповые публичные чаты (channels:read), в групповые приватные (groups:read), или к персональным сообщениям (im:read). Если пользователь согласился дать эти права, тогда приложение получает из API Slack'а токен конкретно для этого пользователя и с его помощью может начинать собирать все сообщения этого пользователя.

Однако общего способа, как слушать вообще все сообщения, включая приватные, без специальных разрешений от всех пользователей - нет. Так что просто внимательнее читайте список разрешений, которые запрашивает у вас бот/приложение.

Ответить
Развернуть ветку
Alexander Perlamutrov

А-а, сейчас появились т.н. workspace tokens, которые позволяют запрашивать права (в том числе и для приватных каналов/личной переписки) только у администратора команды на весь workspace, и не запрашивать у конкретных пользователей. С таким токеном приложение/бот действительно могут "слушать" всё и всех.
https://api.slack.com/docs/working-with-workspace-tokens

Ответить
Развернуть ветку
Егор Мышляев

Я не говорю, что чужие боты будут это делать.
Я говорю, что ваш начальник может сам сделать такого бота, разрешить ему делать всё, что хочется, и благополучно пользоваться им.
Никто об этом не узнает, особенно если у вас стоят разные группы и contributor только один.

Ответить
Развернуть ветку
Alexander Perlamutrov

Да, вы правы, я просто пропустил момент, когда Slack придумал workspace tokens.

Ответить
Развернуть ветку
Igor Erokhin

А в чём проблема-то, пацаны? Слак - рабочий, а не персональный чятик, что там можно было такого в личках писать, что никому нельзя видеть?

Ответить
Развернуть ветку
Илья Казначеев

Работать по аджайлу, прикрываясь ватерфолом

Ответить
Развернуть ветку
Antony Sedov

Что-то я не понял. То есть платный аккаунт позволяет скачать переписку без всяких пояснений, а стандартный требует соблюдения законов? #этоштотакое

Ответить
Развернуть ветку
Александр Рязанов

Неа, выходит, что платный с соблюдением законов, бесплатный с геморроем-мотивацией перейти на платный.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Олег Павлов

Сразу невзлюбил slack. Как знал, что он ламповым не станет :)

Ответить
Развернуть ветку
Кирилл Ходасевич

Продолжение по мотивам свежего мема

- Дуров сматри так можна сделать
- Я же Вам объянил, что...
- Дуров пиристань!

Ответить
Развернуть ветку
Sasha Korablyov

ФСБ разрешила

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вадим Бубликов

Это же сколько харазмента можно найти

Ответить
Развернуть ветку
Ilya Finagin

Совпадение?

Ответить
Развернуть ветку
Иван Купалов

Как дети, ей-богу. Если работники в корпоративном мессенжере треплются на личные темы - сами дураки, тут без вариантов. Пусть скачивают их и прослушивают, в чём проблема-то?

Ответить
Развернуть ветку
Alexander Sorokin

Сейчас еще налоги поднимут до 15%, вот заживем, так заживем!

Ответить
Развернуть ветку
Saucedo Puetz

Спасибо что предупредили)

Ответить
Развернуть ветку
Bringo_call_tracking
Ответить
Развернуть ветку
Александр Мазалецкий

Ну вот тебе раз и не сплетничать)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Максим Ростокин

Название мессенджера говорит само за себя ;)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
30 комментариев
Раскрывать всегда