Slack не стирает метаданные с загружаемых файлов, подвергая риску источники информации

Корпоративный мессенджер, которым пользуется множество журналистских и общественных организаций, в том числе для конфиденциальной переписки, некорректно очищает передаваемые файлы от «следов» их происхождения.

Slack стал одним из наиболее популярных командных мессенджеров среди журналистов, их сообществ, изданий и организаций. Они используют его, чтоб рассказывать свои истории, делятся в нём материалами, рабочими файлами и выполняют другие повседневные операции, зачастую связанные с журналистской тайной, а также требующие определённого рода конфиденциальности. Но, как оказалось, в мессенджеры есть определённые недостатки, которые могут отрицательно повлиять на вашу безопасность.

Использование Slack или подобных сервисов для деликатной работы не всегда отличная идея — к такому выводу пришли юристы, работающие на известного рестлер Халка Хогана. Им удалось получить логи журнала командного сервиса Campfire, совместимого со Slack, поскольку сообщения в нём не были защищены сквозным шифрованием. Есть ещё одна, хоть и незначительная проблема, которую журналисты и активисты могут увидеть при использовании Slack: сервис не удаляет метаданные с загруженных изображений. В зависимости от ситуации и самого изображения, это может потенциально выявить, где была сделана фотография, или «намекнуть», кто её сделал.

Первым об этом в своём твиттере написал аналитик по безопасности Джерри Гэмблин (Jerry Gamblin):

FYI: @SlackHQ does not remove metadata from photos. pic.twitter.com/Q2ZpOD9Xur

— Jerry Gamblin (@JGamblin) 15 червня 2017 р.

То же самое подтвердило издание Motherboard — Slack сохраняет метаданные изображения при использовании веб-клиента сервиса.

Гэмблинг заявил, что проводил свои тесты с помощью настольного клиента мессенджера, а консультант по вопросам безопасности Райан О’Хоро сказал, что перепроверил наличие открытой коллегой проблемы на Android, и даже написал скрипт, с помощью которого можно очищать метаданные в каналах Slack.

Почему возникшую проблему можно назвать действительно «проблемой»? Допустим, вы — журналист, который работает с источником, делавшим фотографии из правительственного учреждения. Вы обмениваетесь фотографиями с вашим редактором в Slack. Прежде чем публиковать свою статью, вы удаляете метаданные из изображений, и лишь после этого загружаете копию.

Но вариант того, что версия с неочищенными метаданными может оказаться в руках правительства, которые оно может истребовать юридическим путём, весьма вероятен. И это ставит под угрозу ваш источник информации, а также вас лично. Либо фотография с метаданными может оказаться в руках других заинтересованных людей, которые хотели бы найти эту уязвимость и использовать в своих интересах. Подобная ситуация может произойти с правозащитниками, которые работают с фотографиями, касающимися разного рода преступлений и пишут о них отчёт. А данные о геолокации на фото теперь могут точно указать на то, где они тогда находились.

Для судебного преследования полученные из Slack данные могут оказаться недостаточными, и для властей проще завладеть вашим ноутбуком и оригинальной фотографией, но всё же с учётом разного рода обстоятельств стоит учитывать ту опасность, которой вы себя подвергаете работая с важными документами в Slack. Старайтесь не загружать в этот корпоративный мессенджер, прежде всего, слишком важные фотографии.

Напомним, согласно исследованиям учёных Стэнфордского университета, метаданные могут рассказать о человеке почти столько же, сколько дают прослушка и слежка за ним. Определить личную информацию о человеке, даже о состоянии его здоровья, можно с помощью одних только данных о звонках и переписке. Кроме того, по данным от всех соединений одного человека не проблема определить метаданные тысяч других людей, вступавших с ним, к примеру, в телефонные разговоры.

Читайте также:

Цифровые токсичные отходы: Почему метаданные не должны жить вечно
?
Спецслужбы способны узнать о вас любую информацию даже без прослушки, — учёные Стэнфордского университета
?
Защищённый почтовый сервис ProtonMail рассказал, как обезопасить свои данные от внимания провайдеров
?
ЕС предлагает узаконить шифрование и запретить бэкдоры
?
Апелляционный суд в США подтвердил право Wikimedia на защиту от слежки