4 dicas para usar o Slack de forma segura

O Slack, popular ferramenta de colaboração de espaço de trabalho corporativo e clone de IRC, não oferece criptografia de ponta a ponta, tornando qualquer violação dos servidores potencialmente catastrófica para usuários em todo o mundo. Uma organização sofreria danos graves se vazarem conversas internas da plataforma. Por isso, nada melhor do que considerar as alternativas criptografadas ou reduzir o risco bloqueando os espaços de trabalho do Slack.

Andrew Ford Lyons, um tecnólogo que trabalha em segurança digital para grupos em risco no Internews, no Reino Unido, deu quatro dicas para diminuir os erros. Embora nenhuma delas possa proteger por completo o Slack de uma violação ou de qualquer outra ameaça à confidencialidade de espaços de trabalho, elas podem tornar o inevitável em algo menos catastrófico.

1. Ativar autenticação de dois fatores (2FA)
Slack oferece autenticação de dois fatores (ou 2FA, na sigla em inglês). Ela não protege o usuário se o Slack for violado, mas dificulta que os invasores ataquem a organização.

A tecnologia suporta o Google Authenticator, o Duo Mobile, o Authy, o 1Password e o Microsoft Authenticator, dependendo do dispositivo móvel que estiver usando. O Slack também suporta SMS nos mesmos moldes. Porém, ainda que qualquer 2FA seja melhor que nada, o SMS 2FA é muito menos seguro do que usar um token suave.

Ainda não há sinal de hard token ao Slack. Em janeiro, a fabricante Yubico anunciou suporte a dispositivos móveis. Organizações preocupadas com a segurança da conta podem deixar para o Slack uma nota perguntando quando esperar pela chegada das Yubikeys.

O usuário deve certificar de ativar o 2FA obrigatório, já que o Slack vem com essa configuração desativada por padrão. Acidentes acontecem até mesmo em organizações cujo modelo de ameaças não inclui phishing (o que parece improvável). “Quantas pessoas estão andando com Slack sem 2FA e perdem o telefone?”, pergunta Lyons.

2. Diga não para integrações de apps de terceiros
O Slack oferece uma tonelada de integrações a aplicativos de terceiros. Embora ele revise todos esses serviços quanto a permissões e acesso a dados apropriados, cada integração adicional aumenta a superfície de ataque geral para a organização. O melhor é removê-los, a menos que realmente precise deles.

Em 2016, mais de 1.500 tokens de acesso Slack codificados em projetos de código aberto foram descobertos no GitHub. “Esses tokens podem fornecer acesso a chats, arquivos, mensagens privadas e outros dados confidenciais compartilhados dentro das equipes do Slack, aonde esses desenvolvedores ou bots são membros”, informou um jornalista da PC World na época.

Os efeitos de rede da integração de múltiplas ferramentas de trabalho significam que uma falha em qualquer um deles afeta a segurança de todos. Organizações que escolhem aceitar o risco elevado para os espaços de trabalho do Slack para então obter uma pequena vantagem de produtividade devem fazê-lo cientes dos perigos.

3. Desativar notificações por e-mail do Slack
Se um usuário estiver preocupado com a confidencialidade de seus espaços de trabalho do Slack, ele deve desativar as notificações de e-mail do Slack. Cada menção a um usuário em um canal Slack vai para a caixa de entrada de e-mail do usuário ou aparece como uma notificação push por padrão. É possível desativar esse padrão, e os administradores podem impor essa configuração em níveis mais bem pagos.

“Mesmo com as notificações do Slack desligadas, o e-mail é um ponto fraco na segurança, pois é ali que as redefinições de senha e processos de recuperação de conta acontecem”, diz Lyons, observando que o 2FA deve ser implantado nas contas de e-mail do Slack e dos usuários correspondentes.

Uma das grandes vantagens do Slack é que ele é muito mais utilizável do que adicionar pessoas em cópia de um e-mail. Mantenha o Slack e o e-mail separados sempre que possível.

4. O elemento humano: escolha os participantes do Slack sabiamente
Os humanos são sempre o elo mais fraco. É preciso ser seletivo sobre quem é permitido participar dos canais do Slack. Faça isso com base na necessidade de saber. Desative membros ou funcionários inativos após um período de tempo definido. Quanto menos pessoas tiverem acesso a informações confidenciais, menos provável será o vazamento. Ter quinhentos funcionários em um canal interno do Slack seria praticamente o equivalente a estar na nuvem para todo o mundo ver.

A configuração de logout de sessão automática, em vez das sessões de login infinitas que o Slack permite, pode ajudar a eliminar contas inativas. Não defina a sessão para ser muito curta, Lyons adverte, pois os usuários vão achar muito chato, especialmente no celular.

Use contas de convidado para contratados ou usuários que precisam de acesso limitado por um período mais curto. “Se você é um cliente meu, posso fornecer uma conta de convidado para um canal e você não poderá ver mais nada, e ele expirará em um ou dois meses, ou o que for definido”, explica o especialista.

A criptografia é ótima para proteger mensagens, mas não pode consertar a natureza humana. Pense no que está digitando, em qual canal está digitando e na natureza permanente de suas palavras. Afinal, uma brecha no Slack, um colega de trabalho com phishing ou um insider nocivo não pode te atingir com palavras que você nunca digitou.