Szybko rozwijający się rynek oprogramowania do monitorowania pracowników doświadczył znacznego zdarzenia bezpieczeństwa z aplikacją monitorującą w miejscu pracy, który ujawnia miliony wrażliwych plików. Według dochodzenie przeprowadzone przez CyberNew , narzędzie, podobno używane przez ponad 200 000 osób, wyciekło ponad 21 milionów pracowników pracowników bezpośrednio na publiczny Internet. Nieprawidłowo zabezpieczone wiadro Amazon S3 Cloud Storage, wspólny rodzaj przechowywania w chmurze podatny na wycieki, jeśli nie jest prawidłowo skonfigurowane przez użytkownika. Takie błędne konfiguracje często wiążą się z błędem ludzkim w ustalaniu uprawnień dostępu, a nie wadach samej usługi chmurowej. Firma reklamuje swój produkt jako bardzo bezpieczny, stwierdzając: „Obiecujemy zapewnić bezpieczeństwo odporne na kulę wszystkim naszym zainteresowanym stronom” na swojej stronie internetowej
okno na komputery stacjonarne
Workcomposer działa, przechwytując częste migawki prac pracowniczych-publicznie jak często 20 sekund.
Niepatrzymane wiadro S3 oznaczało, że ten ciągły wizualny kanał był otwarcie dostępny w czasie rzeczywistym. CyberNews nakreślił kilka konkretnych niebezpieczeństw, jakie stwarzały z takiego wycieku: po pierwsze, dokumenty wewnętrzne i komunikacja oznaczona tylko dla oczu firmy zostały ujawnione; Po drugie, nazwy użytkowników, hasła lub klucze API widoczne na zrzutach ekranu mogą „prowadzić do porwania kont i głębszych naruszeń firm na całym świecie”; Po trzecie, firmy korzystające z Kompozytora Workcomposer mogą stawić czoła poważnym reperkusjom prawnym i finansowym na podstawie przepisów dotyczących ochrony danych, takich jak Europejska RODPR lub California CCPA.
Badacze CyberNews znaleźli otwarte wiadro 20 lutego, i powiadomiono Kompozytor Workcomposer następnego dnia. Postępy wydawały się powolne, wywołując kontakt z Cert 19 marca. Dostęp został ostatecznie zablokowany 1 kwietnia, zabezpieczając odsłonięte dane. Jednak Kompozytor Worksposer nie wydał publicznego komentarza, kiedy CyberNews opublikował swoje ustalenia później w tym miesiącu. WorkComposer’s własne warunki Uwzględniają odpowiedzialność za usługi użytkownika lub zakłócenia odrzucającego z wyłączenia odpowiedzialności za usługi internetowe lub API.
Poprzednie badanie cybernews Od stycznia stwierdzono, że inne narzędzie monitorowania, Webwork, wyciekło 13 milionów zrzutów ekranu przez podobne podatne. Sentyment
Korzystanie z takich narzędzi monitorowania staje się coraz bardziej powszechne, z Niektóre szacunki sugerujące 70% dużych pracodawców może je używać przez 2025. Cechy, takie jak ScreenShotting, są powszechne, uwzględnione w 78% narzędzi produkcyjnych. Ta szeroko rozpowszechniona adopcja wzmacnia potencjalny wpływ niepowodzeń bezpieczeństwa.
, chociaż mające na celu śledzenie wydajności, aplikacje te przechwytują szeroki zakres działań na ekranie, potencjalnie, w tym wiadomości osobiste lub poufne informacje prywatne. Zrozumiałe jest, że reakcje pracowników są zróżnicowane. Dane wskazują znaczący lęk pracownicza (56%stresuje się monitorowanie), obawy dotyczące prywatności (43%) i chęć opuszczenia zadań nad nadzorem (54%). Jednak większość (62%) podobno akceptuje technologię monitorowania, szczególnie jeśli dane pomagają w wydajności lub dobrego samopoczucia.
Wcześniejsze precedensie i korekty branżowe
Debaty na temat cyfrowego nadzoru w miejscu pracy nie są ograniczone dla mniejszych dostawców. Pod koniec 2020 r. Microsoft napotkał znaczącą krytykę dotyczącą funkcji „Wynik wydajności” w Microsoft 365. Zwolennicy prywatności argumentowali, że umożliwił problematyczne nadzór w miejscu pracy, umożliwiając menedżerom śledzenie poszczególnych wskaźników, takich jak objętość e-maili i uczestnictwo zespołów. Badacz Wolfie Christl skomentował W tym czasie jest tak problematyczne na wielu poziomach,„ Dodawanie, „Pracownicy są coraz bardziej eksploatowane przez oprogramowanie i deweloperze do edukacji do edukacji i jest tak problematyczne i jest to tak problematyczne i Kontrola algorytmiczna… MS zapewnia narzędzia. “
Microsoft początkowo bronił tej funkcji, stwierdzając:„ Wynik produktywności jest doświadczeniem opt-in, które daje administratorom IT na temat technicznej i zużycia infrastruktury… Wgląd są w agregatach przez 28-dniowe okres.
Jednak firma szybko zareagowała na obawy. 1 grudnia 2020 r. Microsoft 365 CVP Jared spataro
Dostosowania obejmowały usuwanie poszczególnych nazw użytkowników z raportów i skupienia narzędzia całkowicie na zagregowanych danych organizacyjnych dotyczących przyjęcia technologii, odchodząc od indywidualnego śledzenia produktywności. Ten przypadek ilustruje, w jaki sposób główni dostawcy mogą dostosowywać funkcje na podstawie informacji zwrotnych dotyczących prywatności, w przeciwieństwie do sytuacji kompozytora roboczego, która obejmowała wyciek danych z powodu upływu bezpieczeństwa, a nie wyboru projektu funkcji.
