Integracja z Dyskiem Google Slack może ujawnić Twoje prywatne pliki

Dzięki integracji Dysku Google z usługą Slack możesz łatwo osadzać, udostępniać i otrzymywać na bieżąco powiadomienia dotyczące nowych dodatków do Dysku Google, takich jak pliki, obrazy, dokumenty i inne. Niestety, firma Kapwing, startup zajmujący się edycją wideo online, odkryła, że ​​wykorzystuje podgląd plików za pośrednictwem Slacka Aplikacja Dysk Google nieumyślnie ujawniła prywatne dokumenty i pliki osobom zewnętrznym w obrębie obszar roboczy.

Domyślnie aktywowana funkcja podglądu pliku przyczynia się do tego problemu. Zwykle upraszcza proces, automatycznie wyświetlając podgląd udostępnianego przez użytkownika dokumentu.

Zdarzają się jednak przypadki, gdy dotyczy to również dokumentów, które nie zostały celowo udostępnione przez użytkownika.

Ponadto funkcja zapewnia podgląd dokumentu, który nie jest jeszcze dostępny. Mówiąc konkretnie, podgląd przedstawia obraz o wymiarach 800x1035 przedstawiający całą pierwszą stronę dokumentu.

To samo dzieje się z osobistymi zdjęciami przesyłanymi na Dysk Google. Gdy użytkownik udostępnia dokument lub plik za pomocą łącza, aplikacja Slack automatycznie tworzy obraz podglądu tego pliku, korzystając z uprawnień Google.

Problem polega na tym, że obraz podglądu jest ponownie przesyłany do Slack CDN, ma wysoką rozdzielczość i jest udostępniany wszystkim osobom w obszarze roboczym Slack. Korzystając z klienta internetowego Slack, możesz zobaczyć pełny link do podglądu obrazu.

Kapwing zaleca uwzględnienie tego czynnika podczas udostępniania osobistych Dokumentów Google w kanale publicznym lub w obszarze roboczym, jeśli domyślnie włączony jest podgląd plików. Zdjęcia i badania dzięki uprzejmości Kapwing.