神译局是36氪旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外的新技术、新观点、新风向。
编者按:因为一场肺炎,慢慢的变多的员工被迫在家工作,而像Zoom、Slack这样方便在线办公的应用在全球用户数和流量也呈几何级数激增。但是,许多人没有意识到这些应用背后暗藏着很多隐私安全问题,有些甚至超出了寻常认知。本文梳理了一部分这些应用存在的问题,以提醒读者,以后线上办公可要小心啦。文章译自Medium,作者Yael Grauer,原标题Slack, Zoom, Google Hangouts: Are Your Remote Work Apps Spying on You?
图片来自:Unsplash
为了应对Covid-19,许多公司已经允许甚至要求员工开始远程工作。这在某种程度上预示着,员工可以在工作中不落于人后的情况下进行社会隔离,同时还能领到薪水。
众所周知,通过Slack、Zoom和谷歌环聊(Google Hangouts)等工具与同事、管理人员联系与在办公室联系是不一样的。但技术故障并不是唯一令人担忧的问题,因为会议已被简化为一个个字节。用户隐私也是。
“随着我们将更多的日常生活转移到这些平台上,我们将看到新的、不同的、甚至可能更大的隐私风险,比如企业监控和雇主监控。”领先的非营利性数字版权组织电子前沿基金会(Electronic Frontier Foundation,EFF)的副主任吉尼·格哈特(Gennie Gebhart)说道。
现在的情况转变成,当员工在家工作时,整天使用这些工具,这可能会给一些雇主一个查看员工在做什么的新机会。你应该意识到,根据公司使用的软件和现有的政策,可能存在一些隐私问题。
你的老板也许能读到你的Slack私信
很多人已经在工作中使用了Slack,但如果每个人都在家里工作,那么很自然就会把本来要面对面进行的“茶水间谈话”转移到平台上。这并不总能奏效。
“在公司Slack里的许多员工可能不知道,你发给其他用户的私信虽然看起来很私密,但对你的老板和人力资源部门来说,这些私信与你在渠道中发给其他用户的任何东西都一样可见。” 新美洲(一家专注于技术和媒体的智囊团)的网络安全政策研究员塔拉·惠勒(Tarah Wheeler)说。
“企业导出所有消息”只适用于付费Plus或Enterprise Grid账户的组织,而不是免费或标准帐户,而且Slack指出,工作空间所有者需要有相应的就业协议和企业政策才能使用该功能。此外,公司还必须遵守所有相应法律。即便如此,私人聊天也只是提供了一种隐私的伪装。(注:Enterprise Grid提供大型企业协作通讯架构,足以支持5000至50万名雇员规模的企业。)
格哈特建议说:“如果你不想在全员会议上弄得人尽皆知,就不要放松,即使是发私信也不行。”
你能够最终靠官网查看Slack群组的团队设置,弄清管理员是谁,还有你的群组应用了哪些保留原则和导出设置(包括是否打开消息导出),以及你的公共和私人通道、私信和文件的保留设置。
注意Zoom中的屏幕共享
虽然你可能会希望主持人在面对面会议时注意到你向下看了一分钟,但当你在自己舒适的家里视频聊天时,你可能不会有同样的想法。事实证明,Zoom有一个注意力跟踪功能,如果你把视线移开,它可以提醒主持人。
如果账户管理员启用了注意力跟踪功能,那么共享屏幕的会议主持人就可以(甚至需要)查看参与者的Zoom是否在30秒内失焦(在他们的屏幕上没有打开或活动)。但与会者却没有此通知功能。
“重要的是,该功能只有在Zoom视频窗口打开时才会跟踪。它不跟踪音频或视频内容的任何方面,也不会跟踪窗口上的任何其他应用程序。”Zoom公司的一位发言人在电子邮件中说。
“会议室”里发生了什么…
Zoom、Google和Slack等服务都有可接受的或合理的使用政策,这些都是为了确保你遵守关于共享版权材料、裸露画面和亲密活动等方面的规则。但这也代表着,除非你使用Zoom 的加密视频聊天功能,否则这些公司有能力知道你在他们的平台上做了什么。
耶鲁大学法学院讲师、耶鲁大学隐私实验室创始人肖恩·奥布莱恩(Sean O Brien)表示:“任何运营这些服务的人都可以在任何时候通过拨号进入房间,或查看存储的视频。”团队说他们这样做是为了提供技术和业务支持,以及改善他们的服务,但是他们可以偷听这一点仍然引人深思。奥布莱恩说:“这里面有一个令人毛骨悚然的因素,正如我们过去看到的(其他拥有类似能力的公司),有很多员工行为不端。”例如,在2018年,一名Facebook工程师利用自己有权访问的数据来跟踪女性。还有,在2019年,Snapchat的员工通过一个名为SnapLion的内部工具监视用户。
Slack保留着数据——即使你看不到它
免费的Slack工作区不允许工作区所有者设置数据保留限制,它们还将可见性限制在仅一万条消息之内,这就要求用户只有付费才能看到超过这一限制的消息。但是,不能访问你以前的信息并不代表它们永远消失了。
“我认为很多人可能无法立即理解的是Slack仍然保留着那些旧信息,” 格哈特说。“你无法删除或编辑它们,但它们仍在Slack服务器上存在着。”
Slack可以访问你无法访问的内容,也可以接受执法部门的要求做访问,也容易受到黑客攻击或信息泄露的影响。“使用免费账户的人无法控制自己数据的保留情况,完全听凭Slack摆布。”她补充。
信息泄漏
默认情况下,Slack会打开电子邮件通知功能,这在某种程度上预示着除非你修改了通知设置,否则邮件和@你的回复可能会进入你的收件箱。
格哈特说:“对于一些人来说,这可能有些令人不快,尤其是如果他们注册了个人邮箱的话。”实际上,这在某种程度上预示着即使你从Slack上删除了信息,你仍然能够最终靠收件箱访问它们。
谷歌的环聊则需要用谷歌帐户(无论你是使用特定的Gmail地址还是将另一个电子邮件地址链接到你的帐户)。这可能会引起人们会使用他们个人的Gmail地址(而不是他们的工作帐户)来发起聊天,而向同事显示了个人电子邮件地址则可能会泄露你希望保密的信息。
除此之外,拥有相同电话号码或邮箱地址的不同在线账户也可能会以意想不到的方式串在一起,将你活动的不同方面连接到一个单一身份之中。格哈特说:“你可以想象工会组织活动,各种激进主义,性工作,所有这些都可能在你意料之外连接到账户而被意外曝光。”
谷歌发言人指出,环聊的服务页面提供了关于如何在设备中存储信息以及如何更改这些设置的详细信息。但请记住,你这一系列谷歌产品的管理员都在控制着你工作空间中的这些设置。
译者:Yoyo_J
