slack存在严重的数据泄漏

今天，Valley Wag发现了流行的聊天应用程序Slack中的一个令人不安的数据泄露。开发商Tanay Sai首次发掘出，Slack的注册过程显示了在用户完全验证之前某个公司的热门房间。这意味着如果你想看看谷歌在做什么，你可以输入一个虚拟的[email protected] 帐户，查看哪些团队设置了唯一的帐户，并在输入密码之前取消该过程。事实上，Valley Wag成功地完成了这个精确的技巧，发现了一个“部落可穿戴”的房间，暗示着可能的收购。Slack已经争相修复这个bug，到今天下午4点，它在桌面应用程序上已经无法使用了。该公司也在推动移动修复，但预计传播速度会更慢。

并非所有使用Slack的公司都会受到影响

斯莱克在一份官方声明中指责了“团队发现”功能，这是一种可选设置，旨在向公司内的各个团队介绍新用户。在这里可以看到，该选项是自动选中的，管理员必须取消选中该框才能退出该功能。Slack的声明强调，该设置是可选的，通过禁用该功能可以避免任何数据泄漏。”声明写道：“随着公司增加了越来越多的懒散团队，我们意识到，这种旨在让团队沟通更快、更容易的签到过程本身就变得麻烦了。”我们一直在努力更新我们的登录过程以解决此问题。”

这个漏洞似乎已经存在了一段时间，该公司在8月份的推特上说，这个问题是“在可用性和保密名称之间的权衡”。同时，新的宣传可能会鼓励该公司彻底改变处理该功能的方式。Slack的创始人Stewart Butterfield告诉Next网站，这项功能“不会存在太久了。”我们已经联系Slack征求意见，并将在任何官方声明中更新。

严格来说，这并不是一个安全缺陷，也没有理由相信私人通信会受到损害，但该功能仍然会对Slack上的数据安全提出真正的问题。在Facebook和Snapchat等社交应用中，低级别的数据泄露很常见，但Slack仍然是一项商业服务，服务于谷歌、微软、eBay、索尼和nbc环球等大公司。如果Slack真的要取代电子邮件，公司就需要用敏感信息来信任它。只要Slack面临这样的数据泄露，他们可能很难说服更多的公司他们的数据是安全的。

美国东部时间下午12:28：更新了更多关于谁受到泄漏影响的细节

美国东部时间下午1点03分：更新了更多关于公司应对泄漏的细节

东部时间下午1:43：更新为包括官方声明

美国东部时间下午2:26：更新了Slack的进一步评论，包括“团队发现”图片

美国东部时间下午4:10：更新了Slack语句，表示桌面应用程序的错误已修复