La semaine dernière, la situation de
suppression du compte Slack a provoqué une petite agitation. Des messages ont commencé à arriver aux utilisateurs individuels de Slack Technologies au sujet des sanctions américaines "à certains pays et régions, tels que Cuba, l'Iran, la Corée du Nord, la Syrie et la région de Crimée d'Ukraine".
Selon la lettre, dans le cadre des sanctions économiques, l'entreprise est obligée de fermer immédiatement le compte utilisateur ("fermeture immédiate du compte").
Il est connu que le problème n'a pas affecté tous les utilisateurs de la Crimée, mais seulement certains. L'étude a montré que le filtrage des comptes «interdits» par Slack se poursuit depuis au moins
février 2018 . Cependant, cette fois, le nombre de comptes interdits s'est avéré inhabituellement élevé (voir le
fil sur HN ). La situation a reçu une large réponse - et à la fin, Slack
a dû s'excuser et récupérer les comptes supprimés.
«Il y a deux jours, nous avons mis à jour notre système pour appliquer les informations de localisation conformément aux embargos commerciaux et aux règles de sanctions économiques des États-Unis», a publié un article de blog d'entreprise Slack daté du 21 décembre 2018. - Peu de temps après la mise à jour, nous avons constaté que nous avions fait un certain nombre d'erreurs et, par inadvertance, désactivé plusieurs comptes qui n'auraient pas dû l'être. Nous reconnaissons les inconvénients et nous nous excusons auprès des personnes affectées par nos actions. En fait, nous nous excusons également auprès des personnes dont nous voulions désactiver les comptes afin de respecter ces règles. Nous n’avons pas très bien réussi en matière de communication et, dans les deux cas, nous ne respections pas nos propres normes de courtoisie et d’orientation client. »
Ainsi, Slack ne refuse pas une nouvelle interdiction de comptes, mais s'engage à restaurer ceux qui ont été supprimés par erreur.
«Nous n'avons pas bloqué les utilisateurs par leur nationalité ou leur appartenance ethnique. Comme d'habitude dans l'industrie des logiciels d'entreprise, Slack utilise des informations de localisation, principalement dérivées des adresses IP, pour implémenter ces blocs nécessaires. Nous ne collectons, n'utilisons ou n'utilisons aucune information sur la nationalité ou l'origine ethnique de nos utilisateurs, indique le message. - Nous avons retrouvé l'accès à la plupart des comptes bloqués par erreur et nous travaillons dur pour restaurer tous les utilisateurs restants dont l'accès a été bloqué par erreur. Si vous pensez que nous avons fait une erreur en bloquant votre accès, contactez feedback@slack.com et nous considérerons cela dès que possible. »
Nous pouvons conclure que le blocage en masse des comptes est effectué automatiquement et que la récupération se fait manuellement. Autrement dit, les recommandations de la société Flant affectée, qui décrivaient la situation sur Habré, restent pertinentes: il est important d'avoir un plan de sauvegarde pour de telles situations (par exemple, des chats Telegram spéciaux), et «plus globalement - regardez à nouveau les solutions auto-hébergées comme Mattermost et Rocket. ".
Du point de vue de la sécurité, il est
inacceptable de s'appuyer entièrement sur une solution SaaS tierce dans les communications sur lesquelles vous n'avez aucun contrôle. En effet, en plus d'un dysfonctionnement technique, des actions malveillantes du propriétaire de la plateforme sont également possibles, comme nous l'avons vu dans ce cas.
«Nous souhaitons également informer nos utilisateurs que, alors que nous continuons à mettre à jour nos systèmes au cours des prochaines semaines, nous allons bientôt commencer à bloquer l'accès à notre service à partir des adresses IP associées au pays interdit. Les utilisateurs voyageant dans un pays autorisé peuvent ne pas avoir accès à Slack tant qu'ils restent dans ce pays. Cependant, nous ne désactiverons pas leurs comptes, et ils pourront accéder à Slack lorsqu'ils reviendront dans des pays ou des régions pour lesquels un verrou n'est pas requis - c'est l'annonce officielle de nouveaux verrous par Slack. "Nous admettons que nous avons commis quelques erreurs ici." Nos tentatives de se conformer à ces règles n'ont pas été bien mises en œuvre. Dans nos communications, nous n'avons pas traité les clients et les autres utilisateurs avec respect. Et enfin, pressés de comprendre l'impact et d'entamer le processus d'atténuation, nous n'étions pas pressés de signaler ce qui se passait. Nous nous excusons auprès de toutes les victimes. Nous percevrons ces échecs comme des leçons que nous pouvons utiliser pour améliorer le service et éviter des erreurs similaires à l'avenir. »
Pour résumer, à l'avenir, Slack prévoit d'
augmenter l'échelle de blocage , ce qui peut affecter tous les utilisateurs possédant des adresses IP en provenance d'Iran, de Cuba, de Crimée, etc., dans le cadre de la liste des sanctions.