آیا Slack امن است

اسلک ابزاری برای ارتباط گروهی و تیمی، بخصوص برای مشاغل است که در پنج سال گذشته محبوبیت زیادی پیدا کرده است. اکنون روزانه ۱۰ میلیون کاربر فعال دارد که آن را به پلتفرم پیشرو برای ارتباط کارمندان یک شرکت تبدیل می‌کند. ۶۵ شرکت از ۱۰۰ شرکت برتر مجله Fortune برای ارتباط گروهی و تیمی از نرم‌افزار اسلک استفاده می‌کنند. طبق آمار اسلک، ۸۵ هزار شرکت از نسخه اینترپرایز این نرم‌افزار استفاده می‌کنند.

این تعداد زیاد کاربر فرصتی برای هکرها جهت استفاده از این پلتفرم برای نفوذ به شبکه‌ها و دسترسی به داده‌های حساس است. در این مقاله از وب‌سایت امنیت اینترنت کنش‌تک می‌خوانیم که آیا Slack امن است، آیا سازمان یا شرکت شما باید به فکر راه حل‌های امنیتی برای حمله احتمالی باشد؟

آیا Slack امن است

هنگامی که Slack برای اولین بار در سال ۲۰۱۳ راه اندازی شد، به عنوان جایگزین کاربر پسند ابزارهای Microsoft Teams شناخته شد. کم کم شرکت‌های زیادی شروع به استفاده از این پلتفرم کردند.

با این حال، در سال ۲۰۱۵ اسلک هک شد و حفره‌های امنیتی آن آشکار شد. این شرکت اعلام کرد که بیش از چهار روز سیستم‌های آن هک شده و برخی از داده‌های کاربرانش به خطر افتاده است. این شامل آدرس‌های ایمیل، نام‌های کاربری، رمزهای عبور رمزنگاری شده بود. اسلک همچنین متوجه برخی از فعالیت‌های مشکوک در حساب‌های کاربری شد که نشان می‌دهد حداقل برخی از حساب‌ها در معرض خطر قرار گرفته‌اند. اگر حساب Slack مدیر عامل، مدیر فنی یا مقام اجرایی یک سازمان یا شرکت در معرض خطر باشد به همان اندازه یک حساب ایمیل در معرض خطر مشکلات امنیتی ایجاد کند. این هک باعث شد Slack احراز هویت دو مرحله‌ای را پیاده سازی کند.

در ماه می سال ۲۰۱۹، طبق گزارش Threatpost، یک آسیب‌پذیری امنیتی دیگر در Slack کشف شد که به هکرها این امکان را می‌داد تا از راه دور از یک آسیب‌پذیری در Slack برای تغییر مسیر دانلود فایل‌های ارسال شده یا به ‌اشتراک گذاشته شده استفاده کنند. بدین ترتیب هکرها می‌توانستند درون فایل‌ها بدافزار تزریق کنند یا محتوای اسناد را تغییر دهند. این باگ اصلاح شده است.

اسلک به گروه‌های بزرگی از مردم اجازه می‌دهد به راحتی با هم ارتباط برقرار کنند. کانال‌های Slack توسط هر فردی می‌توانند باز شوند، و نام کاربری تنها چیزی است که کاربر برای تأیید هویت شخصی که با او صحبت می‌کند، باید داشته باشد.

این بدان معناست که Slack نیز مانند ایمیل به پلتفرمی تبدیل شده است که کاربران باید مراقب حملات فیشینگ و پیام‌های اسپم باشند. از آنجایی که بدون ارسال لینک دعوت Slack نمی‌توان وارد کانال‌ها شد، کاربران تصور می کنند که فضای کاری آنها امن است، اما همیشه اینطور نیست.

در سال ۲۰۱۷، گروهی از هکرها از یک حساب اسلک، با عنوان Slackbot ،که تظاهر می‌کردند یک بات است، استفاده کردند. این حساب به ظاهر بات، کاربران را به یک وب‌سایت جعلی هدایت می‌کرد که در آن اطلاعات مالی آنها را جمع‌آوری می‌کردند.

این نوع حملات فیشینگ از طریق Slack می‌تواند به طور بالقوه بسیار آسیب‌رسان‌تر از یک کمپین مشابه از طریق ایمیل باشد.

در مصاحبه experti nsights با Otavio Freir، رییس و مدیر فنی SafeGuard، اینگونه استدلال کرد که «مردم یاد گرفته‌اند به آنچه در ایمیل می‌بینند بی اعتماد باشند. اما با فناوری‌های جدید، هنوز دلیلی برای بی‌اعتمادی را تجربه نکرده‌اند.»

Slack ضمن حذف حساب‌های آلوده، مسئولیت محافظت در برابر حملات فیشینگ را بر دوش تیم‌های امنیتی گذاشته است: «ما مدیران و اعضای تیم را تشویق می‌کنیم هوشیار باشند و اقدامات امنیتی اولیه را بررسی و اجرا کنند.»

راه حل های امنیتی برای Slack

اسلک با ارائه API منبع باز خود، امکان ایجاد راه‌حل‌های امنیتی برای شرکت‌ها و تیم‌های فنی را فراهم کرده است. برای نمونه Avanan، شرکتی که برای راه‌حل امنیتی CASB خود شناخته شده است، یک پلتفرم امنیتی برای اسلک فراهم کرده است که URL را فیلتر می‌کند، از کسب و کارها در برابر بدافزار محافظت می کند، حساب‌های هک شده را شناسایی و مسدود می‌کند، و داشبورد مدیریت کامل را ارائه می دهد.

شرکت‌های دیگر، مانند SafeGuard Cyber، پلتفرمی را برای انطباق، بایگانی و امنیت در Slack ایجاد کرده‌اند. این راه حل، دفاع سایبری از کسب‌و‌کارها را  با ارزیابی تمام پیام‌ها، تصاویر، پیوست‌ها و لینک‌های Slack برای پیدا کردن محتوای مخرب، فراهم می‌کند.

مراحل ساده برای افزایش امنیت Slack این است که مطمئن شوید هیچ کارمندی اطلاعات حساس تجاری یا جزئیات حساب خصوصی را از طریق Slack به اشتراک نمی‌گذارد. همه همچنین باید از احراز هویت دو مرحله‌ای استفاده کنند تا احتمال به خطر افتادن حساب را به حداقل برسانند.

کسب‌وکارها همچنین باید از یکی از راه‌حل‌های امنیتی در اسلک استفاده کنند. اگر Slack جایگزین ایمیل برای ارتباطات داخلی تجاری شما شود، وجود یک راه حل امنیتی مورد اعتماد در حفاظت از داده‌های کسب و کار شما بسیار مهم خواهد بود.

منبع: https://expertinsights.com/insights/how-secure-is-slack-for-your-business/