員工監控軟件的迅速擴展的市場經歷了一項重大的安全事件,而工作場所監視應用程序工作人員將曝光數百萬個敏感文件曝光。根據 cybernews的調查> cybernews ,該工具,據報導,該工具,據報導,超過2100萬人使用了超過2100萬人的屏幕,直接洩露了
WorkComposer通過捕獲員工屏幕的頻繁快照,通常是每20秒的錄製範圍來捕獲員工屏幕的頻繁快照,並遵循每20秒的錄製。
無安全的S3桶意味著這種連續的視覺供稿是可以實時開放的。網絡新聞概述了這種洩漏構成的幾種特定危險:首先,內部文件和通訊意味著只暴露了公司的眼睛;其次,在屏幕截圖中可見的用戶名,密碼或API鍵可能“導致劫持帳戶和更深入的全球企業違反”;第三,在歐洲GDPR或加利福尼亞州的CCPA等數據保護法律下,使用工作人員的公司可能會面臨嚴重的法律和財務影響。
cybernews的研究人員於2月20日發現了開放式桶,並於第二天發出了警告。進度顯得緩慢,促使3月19日與CERT聯繫。訪問最終於4月1日鎖定,確保了暴露的數據。但是,在賽伯納夫(Cybernews)本月晚些時候發表其調查結果時,WorkComposer並未發表公眾評論。 WorkComposer’s own Terms and Conditions include a disclaimer rejecting liability for internet security breaches, stating “We disclaim any and all liability resulting from or related to any Internet security breach or disruption of Authorized User’s connections to the Web Services or API.”
This incident不是獨一無二的;作為以前的網絡新聞調查一月發現,從1月發現,另一個監視工具,網絡工具,Webwork,通過相似的漏洞洩漏了1300萬個屏幕截圖。情感
使用此類監控工具的使用變得越來越普遍,使用一些估計值表明,大型雇主可能會使用2025的工具來使用70% intermentions interment of 2025。這種廣泛的採用會擴大安全失敗的潛在影響。
雖然旨在跟踪生產力,但這些應用程序捕獲了廣泛的屏幕活動,可能包括個人消息或敏感的私人信息。可以理解的是,員工反應是多種多樣的。數據指示重要的工人焦慮(56%的人感到壓力),監測壓力),隱私問題(43%),以及願意離開工作上的工作(54%)。然而,據報導,大多數(62%)接受監測技術,尤其是在數據有助於績效或福祉的情況下。
過去的先例和行業調整
關於工作場所數字監視的辯論不限於工作場所數字監視的辯論。在2020年底,微軟對Microsoft 365中的“生產力得分”功能遇到了重大批評。隱私擁護者認為,它使有問題的工作場所監視能力,使經理可以跟踪個人指標,例如電子郵件量和團隊參與。 Researcher Wolfie Christl commented at the time, “This is so problematic at many levels,”adding, “Employers are increasingly exploiting metadata logged by software and devices for performance analytics and algorithmic control… MS is providing the tools for it.”
Microsoft initially defended the feature, stating: “Productivity score is an opt-in experience that gives IT administrators insights about technology and infrastructure usage… Insights are shown in aggregate over a 28-day period and are provided at the user level so that an IT admin can provide technical support and guidance… productivity score is not a work monitoring tool.”
但是,該公司迅速回應了問題。在2020年12月1日,Microsoft 365 CVP Jared Spataro
涉及從報告中刪除單個用戶名的調整,並將工具完全集中在有關技術採用的匯總組織數據上,遠離個人生產力跟踪。此案例說明了主要提供商如何根據隱私反饋調整功能,與工作程序的情況形成鮮明對比,該情況涉及由於安全失誤而不是功能設計選擇而導致的數據洩漏。
