El omnipresente sitio de chat de trabajo Slog presentó esta mañana una nueva función llamada Connect DM, que permite a los usuarios enviar mensajes en vivo a su gente. No Trabajar con. Después de unas horas, la compañía confirmará la actualización después de que los usuarios demuestren inmediatamente lo fácil que es usar Connect DM para abusar o acosar a otros, alegando que la compañía ya es «nuestra».
Slack lanzó por primera vez Slog Connect el año pasado, lo que permitió a las empresas crear canales compartidos entre múltiples servidores de Slog para facilitar las operaciones comerciales. Básicamente, si trabaja en Widget Film Production Inc. y está colaborando en un proyecto con Location Studio Corporation, tanto el personal de widgets como el personal de ubicación pueden unirse al canal de holgura compartido para discutir los exploradores de ubicaciones para su próximo proyecto.
Hoy, sin embargo, Slack ha agregado una tarifa, que permite a cualquier persona en el mundo pago enviar una solicitud de mensaje directo a cualquier otro usuario de Slog en el mundo (incluso si lo hace) No. Tiene una cuenta de pago). Ilan Frank, vicepresidente de producto de Slack, Dijo el protocolo del sitio de noticias técnicas Slack se posiciona deliberadamente los Elección del sitio de chat para el mundo empresarial. “Cuando alguien desbloquea su teléfono y se conecta con sus amigos, hace clic en Facebook o WhatsApp”, dijo Frank. «Si están afiliados a alguien con quien trabajan, independientemente de dónde trabaje esa persona, deben hacer clic en el margen».
Slack parece haber considerado la posibilidad de que algunos malos actores usen su sitio para el acoso, pero no pareció haber pensado demasiado ni por mucho tiempo sobre ese poder. En realidad, los DM de enlace se seleccionan en los que debe aceptar una solicitud de alguien antes de poder interactuar con ellos. Sin embargo, hay un gran agujero: el usuario que hace la «llamada» envía un mensaje a su destinatario objetivo de hasta 560 caracteres, y Slack envía un correo electrónico al destinatario con el cuerpo completo de ese mensaje.
Usé el servidor slack de Ars Technica para enviar una llamada falsa a mi dirección de correo electrónico personal para demostrar:
-
El mensaje de prueba que envié a mi dirección de correo electrónico personal fue más grosero que los muchos mensajes directos de Twitter que recibí.
-
He aquí, he recibido todo mi mensaje grosero en mi bandeja de entrada personal.
Como Otros han mencionado, Los destinatarios de mensajes falsos, acosadores o amenazantes no pueden bloquear fácilmente a un remitente específico porque Slack envía notificaciones desde una bandeja de entrada principal común.
Tras la atención generalizada de Twitter y los medios, Slack reconoció esta tarde la brecha en su implementación: texto de invitación personalizable y prometió editarlo.
«Después de lanzar los mensajes directos de Slack Connect esta mañana, recibimos comentarios valiosos de nuestros usuarios sobre cómo las llamadas por correo electrónico para usar esta función pueden usarse para enviar mensajes maliciosos o acosadores», dijo la compañía en un comunicado. «Estamos tomando medidas inmediatas para prevenir este tipo de abuso, comenzando hoy eliminando la capacidad de personalizar un mensaje cuando un usuario llama a Slok Connect DMs. Cometimos un error en esta versión inicial que no coincidía con la experiencia habitual de la aplicación Connect. . Como siempre, estamos agradecidos con todos los que hablaron y estamos comprometidos a solucionar este problema «.
