На прошлой неделе небольшой переполох вызвала ситуация с удалением аккаунтов Slack. Отдельным пользователям начали приходить сообщения от компании Slack Technologies про санкции США «к определённым странам и регионам, таким как Куба, Иран, Северная Корея, Сирия и регион Украины Крым».
Как сказано в письме, в связи с экономическими санкциями компания вынуждена закрыть аккаунт пользователя немедленно («closing the account effective immediately»).
Известно, что проблема затронула не всех пользователей из Крыма, а только некоторых. Исследование показало, что фильтрация «запрещённых» аккаунтов со стороны Slack идёт как минимум с февраля 2018 года. Тем не менее, в этот раз количество забаненных аккаунтов оказалось необычно высоким (см. тред на HN). Ситуация получила широкий резонанс — и в конце концов компании Slack пришлось извиняться и восстанавливать удалённые аккаунты.
«Два дня назад мы обновили нашу систему для применения информации о местоположении в соответствии с торговыми эмбарго США и правилами экономических санкций, — сообщение в корпоративном блоге Slack от 21 декабря 2018 года. — Вскоре после обновления мы обнаружили, что допустили ряд ошибок и по неосторожности деактивировали несколько учётных записей, которые не следовало. Мы признаём причинённые неудобства и приносим искренние извинения людям, пострадавшим от наших действий. На самом деле, мы также приносим извинения людям, чьи учётные записи мы намеревались отключить в целях соблюдения этих правил. Мы не очень справились с коммуникацией и в обоих случаях не соответствовали собственным стандартам вежливости и клиентоориентированности».
Таким образом, Slack не отказывается от дальнейшего бана аккаунтов, но соглашается восстановить те, которые были удалены по ошибке.
«Мы не блокировали пользователей по их национальности или этнической принадлежности. Как обычно в индустрии корпоративного программного обеспечения, Slack использует информацию о местоположении, в основном полученную из IP-адресов, для реализации этих необходимых блоков. Мы не собираем, не используем и не обладаем какой-либо информацией о национальности или этнической принадлежности наших пользователей, — говорится в сообщении. — Мы восстановили доступ к большинству ошибочно заблокированных учётных записей и прилагаем все усилия для восстановления всех оставшихся пользователей, доступ к которым был заблокирован по ошибке. Если вы считаете, что мы допустили ошибку в блокировании вашего доступа, обратитесь к feedback@slack.com и мы рассмотрим это как можно скорее».
Можно сделать вывод, что массовая блокировка аккаунтов осуществляется автоматически, а восстановление — в ручном режиме. То есть остаются актуальными рекомендации пострадавшей компании «Флант», которая изложила ситуацию на Хабре: важно иметь запасной план для подобных ситуаций (например, специальные чаты Telegram), а «глобальнее — ещё раз присмотреться к решениям self-hosted вроде Mattermost и Rocket.Chat».
С точки зрения безопасности недопустимо полностью полагаться в коммуникациях на стороннее решение SaaS, над которым у вас нет контроля. Ведь кроме технического сбоя возможны и злонамеренные действия со стороны владельца платформы, как мы и убедились в данном случае.
«Мы также хотели бы уведомить наших пользователей, что, поскольку мы продолжаем обновлять наши системы в течение следующих нескольких недель, мы скоро начнём блокировать доступ к нашему сервису с IP-адресов, связанных с запрещённой страной. Пользователи, которые путешествуют в санкционированную страну, могут не иметь доступа к Slack, пока они остаются в этой стране. Тем не менее, мы не будем деактивировать их учётные записи, и они смогут получить доступ к Slack, когда вернутся в страны или регионы, для которых блокировка не требуется, — это официальный анонс дальнейших блокировок со стороны Slack. — Мы признаём, что совершили здесь несколько ошибок. Наши попытки соблюсти эти правила не были хорошо реализованы. В наших коммуникациях мы не отнеслись к клиентам и другим пользователям с должным уважением. И, наконец, в спешке, чтобы понять воздействие и начать процесс смягчения, мы не спешили сообщать, что происходит. Всем пострадавшим приносим свои извинения. Мы воспримем эти неудачи как уроки, которые можем использовать, чтобы улучшить сервис и избежать подобных ошибок в будущем».
Подводя итог, в будущем Slack планирует увеличить масштаб блокировок, которые могут затронуть всех пользователей с IP-адресами из Ирана, Кубы, Крыма и так далее по санкционному списку.
Как сказано в письме, в связи с экономическими санкциями компания вынуждена закрыть аккаунт пользователя немедленно («closing the account effective immediately»).
Известно, что проблема затронула не всех пользователей из Крыма, а только некоторых. Исследование показало, что фильтрация «запрещённых» аккаунтов со стороны Slack идёт как минимум с февраля 2018 года. Тем не менее, в этот раз количество забаненных аккаунтов оказалось необычно высоким (см. тред на HN). Ситуация получила широкий резонанс — и в конце концов компании Slack пришлось извиняться и восстанавливать удалённые аккаунты.
«Два дня назад мы обновили нашу систему для применения информации о местоположении в соответствии с торговыми эмбарго США и правилами экономических санкций, — сообщение в корпоративном блоге Slack от 21 декабря 2018 года. — Вскоре после обновления мы обнаружили, что допустили ряд ошибок и по неосторожности деактивировали несколько учётных записей, которые не следовало. Мы признаём причинённые неудобства и приносим искренние извинения людям, пострадавшим от наших действий. На самом деле, мы также приносим извинения людям, чьи учётные записи мы намеревались отключить в целях соблюдения этих правил. Мы не очень справились с коммуникацией и в обоих случаях не соответствовали собственным стандартам вежливости и клиентоориентированности».
Таким образом, Slack не отказывается от дальнейшего бана аккаунтов, но соглашается восстановить те, которые были удалены по ошибке.
«Мы не блокировали пользователей по их национальности или этнической принадлежности. Как обычно в индустрии корпоративного программного обеспечения, Slack использует информацию о местоположении, в основном полученную из IP-адресов, для реализации этих необходимых блоков. Мы не собираем, не используем и не обладаем какой-либо информацией о национальности или этнической принадлежности наших пользователей, — говорится в сообщении. — Мы восстановили доступ к большинству ошибочно заблокированных учётных записей и прилагаем все усилия для восстановления всех оставшихся пользователей, доступ к которым был заблокирован по ошибке. Если вы считаете, что мы допустили ошибку в блокировании вашего доступа, обратитесь к feedback@slack.com и мы рассмотрим это как можно скорее».
Можно сделать вывод, что массовая блокировка аккаунтов осуществляется автоматически, а восстановление — в ручном режиме. То есть остаются актуальными рекомендации пострадавшей компании «Флант», которая изложила ситуацию на Хабре: важно иметь запасной план для подобных ситуаций (например, специальные чаты Telegram), а «глобальнее — ещё раз присмотреться к решениям self-hosted вроде Mattermost и Rocket.Chat».
С точки зрения безопасности недопустимо полностью полагаться в коммуникациях на стороннее решение SaaS, над которым у вас нет контроля. Ведь кроме технического сбоя возможны и злонамеренные действия со стороны владельца платформы, как мы и убедились в данном случае.
«Мы также хотели бы уведомить наших пользователей, что, поскольку мы продолжаем обновлять наши системы в течение следующих нескольких недель, мы скоро начнём блокировать доступ к нашему сервису с IP-адресов, связанных с запрещённой страной. Пользователи, которые путешествуют в санкционированную страну, могут не иметь доступа к Slack, пока они остаются в этой стране. Тем не менее, мы не будем деактивировать их учётные записи, и они смогут получить доступ к Slack, когда вернутся в страны или регионы, для которых блокировка не требуется, — это официальный анонс дальнейших блокировок со стороны Slack. — Мы признаём, что совершили здесь несколько ошибок. Наши попытки соблюсти эти правила не были хорошо реализованы. В наших коммуникациях мы не отнеслись к клиентам и другим пользователям с должным уважением. И, наконец, в спешке, чтобы понять воздействие и начать процесс смягчения, мы не спешили сообщать, что происходит. Всем пострадавшим приносим свои извинения. Мы воспримем эти неудачи как уроки, которые можем использовать, чтобы улучшить сервис и избежать подобных ошибок в будущем».
Подводя итог, в будущем Slack планирует увеличить масштаб блокировок, которые могут затронуть всех пользователей с IP-адресами из Ирана, Кубы, Крыма и так далее по санкционному списку.