Bug in Slack laat verder delen privé-documenten toe

Een bug in de populaire zakelijke chatapplicatie Slack zorgt ervoor dat een gebruiker een document van iemand anders dat met hem gedeeld is, verder kan delen binnen een organisatie. Zelfs wanneer de eigenaar het document opnieuw privé zet, blijft het beschikbaar voor derden.

Als persoon A een document deelt in een Slack-kanaal met persoon B, dan is dat voor beide gebruikers zichtbaar. Persoon B kan alle wijzigingen zien, maar A blijft eigenaar en kan het document in kwestie op ieder moment opnieuw privé zetten. In dat geval verliest B toegang. Op z’n minst: zo hoort de toegangscontrole binnen Slack te werken.

Delen met C

In de praktijk bevat het systeem een bug. Dat ontdekten onderzoekers van het Israëlische beveiligingsbedrijf Polyrize. B kan het document van A zolang hij of zij toegang heeft immers in een nieuwe conversatie delen met C. C krijgt dan dezelfde toegangsrechten dan B. Wanneer de eigenaar het document opnieuw privé zet, heeft dat geen invloed op de versie gedeeld met C. Die kan de laatste bijgewerkte data blijven zien, zonder dat A daar iets aan kan doen of zelfs maar op de hoogte is. Volgens Slack staat het document in kwestie wel degelijk privaat.

De bug laat werknemers toe om gevoelige data te delen met mensen binnen een organisatie of zelfs gasten die daar helemaal geen recht op hebben. De eigenaar is bovendien machteloos om er iets aan te doen, aangezien het illegitiem delen niet gepaard gaat met een melding.

Designkeuze

Slack nuanceert de bevindingen in een reactie aan The Register. De bug zou zich enkel voordoen bij gedeelde snippets en posts. Dat zijn specifieke bestandstypes waarin Slack-gebruikers kunnen samenwerken. Volgens de ontwikkelaar doet het probleem zich niet voor bij andere types van bestanden zoals bijvoorbeeld Word-documenten. Slack geeft bovendien toe dat de deel-instellingen misschien verwarrend zijn maar dat de brede beschikbaarheid van een gedeelde post of snippet een designkeuze is.

Dat is vreemd, aangezien het met de huidige implementatie vrijwel onmogelijk is om na te gaan wie toegang heeft gehad tot een bepaald document. Data governance wordt belangrijker dan ooit. Bedrijven zien steeds meer in hoe cruciaal zichtbaarheid van het gebruik van gevoelige data is. Dat Slack dergelijke zichtbaarheid niet biedt en dat ook niet van plan lijkt, gaat in tegen de huidige trends in beveiliging.

Gevoelige bestanden of data delen via een toepassing zoals Slack is natuurlijk sowieso geen goed idee. Gebruik daarvoor beter bestandsformaten en tools die een diepere controle van de toegang mogelijk maken.