ネットサービス

Slackの新機能「コネクト」が非Slackユーザーにまで嫌がらせし放題だと判明して速攻で修正


現地時間2021年3月24日、Slackが非Slackユーザーともダイレクトメッセージをやりとりできる新機能「Slack コネクト」をリリースしました。この機能はメールアドレスを介してダイレクトメッセージを送受信できるという有料版向けの機能ですが、実質的に「Slackのサーバーから任意のメールを送り放題」という嫌がらせに活用できることが判明し、公式は同機能を修正しています。

Slack pledges update to “Connect DM” after realizing harassment exists | Ars Technica
https://arstechnica.com/information-technology/2021/03/slack-promises-to-update-easy-to-abuse-connect-dm-feature/

Slack quickly removes message invites in its new DM feature over harassment concerns - The Verge
https://www.theverge.com/2021/3/24/22348743/slack-connect-dm-abuse-harassment-disable-message-invite-response

Slackが新たにリリースした「Slack コネクト」は、メールアドレスと同封メッセージを入力して送信するだけで、指定したチャンネルへの招待メールを送信できるという、社外の人ともコラボレーションを手軽に始められるという有料版向けの新機能。なお、オプトイン(初期設定ではオフ)の機能であるため、利用には管理者側で設定を有効化する必要があります。


以下の「Slack コネクトをはじめる」を読むと、この新機能について理解できます。

Slack コネクトを始める | Slack
https://slack.com/intl/ja-jp/resources/using-slack/setting-up-a-shared-channel


このSlack コネクトの問題は、「嫌がらせし放題」だという点。上記の通り、Slack コネクトは入力したメールアドレスに招待メールを送信するという機能ですが、同封メッセージにどのような内容を入力してもOKだったため、嫌がらせのメッセージを送信することが可能。さらに招待メールの送信元は「[email protected]」となるため自動フィルタリングも対象外という、非常に悪用しやすい機能でした。


この嫌がらせ問題は、同機能のリリース直後にユーザーから指摘されて発覚しました。一方、SlackはSlack コネクトを2020年10月時点で発表していたため、「約半年間も嫌がらせできる可能性に気がつかなかったのか?」という批判を浴びています。

すでにSlackは同封メッセージを自由入力できる仕様を改め、定型文のみが同封されるという仕様に変更。「声を上げてくれた全ての人に感謝します」と発表しています。

この記事のタイトルとURLをコピーする

・関連記事
年初早々発生したSlackの大規模障害は「仕事始め」が原因だった - GIGAZINE

Slackはスピードと信頼性を両立したソフトウェア開発をどのように実現しているのか? - GIGAZINE

Slackが約2兆8900億円でSalesforceに買収される - GIGAZINE

in ソフトウェア,   ネットサービス, Posted by log1k_iy

You can read the machine translated English article here.