Серьёзный инцидент, связанный с нарушением конфиденциальности на рабочем месте, произошёл из-за утечки более 21 миллиона скриншотов, сделанных популярным приложением для мониторинга сотрудников. Ошибка в настройках хранилища привела к тому, что изображения с экрана компьютеров работников оказались в открытом доступе в интернете, вызвав волну обеспокоенности по поводу безопасности и этичности цифрового наблюдения на рабочих местах.
Инцидент связан с сервисом WorkComposer, который используется более чем в 200 тысячах рабочих мест по всему миру. Программа отслеживает активность сотрудников: фиксирует нажатия клавиш, использование приложений и делает скриншоты экрана каждые несколько минут. Исследователи из Cybernews обнаружили, что из-за неправильно настроенного хранилища Amazon S3 миллионы изображений стали доступны для любого пользователя в сети.
Скриншоты содержали массу конфиденциальной информации: электронные письма, чаты, внутренние документы, а также страницы входа с именами пользователей, паролями, API-ключами и другими чувствительными данными. После уведомления от исследователей WorkComposer закрыл доступ к хранилищу, однако на момент публикации компания официально не прокомментировала ситуацию.
Специалисты предупреждают, что злоумышленники могли использовать эти данные для кражи личной информации, фишинга или промышленного шпионажа. Так как изображения публиковались практически в реальном времени, хакеры потенциально могли отслеживать рабочие процессы компаний в момент их осуществления.
Последствия утечки затрагивают не только корпоративный уровень. Работники не контролировали, что именно попадало на скриншоты — среди них могли быть личные сообщения, данные о медицинских визитах и другие приватные сведения. Это усиливает давние споры об этической стороне использования программ слежения за персоналом, особенно когда сотрудники не имеют возможности повлиять на механизм сбора информации.
Учитывая объём и характер утечки, инцидент может стать предметом расследования со стороны регуляторов. Компании, использующие WorkComposer, рискуют столкнуться с санкциями по законам о защите данных, таким как Общий регламент ЕС по защите данных (GDPR) и Закон о конфиденциальности потребителей Калифорнии (CCPA).
Особое беспокойство вызывает то, насколько легко такие утечки могут произойти. Ошибки при настройке хранилищ Amazon S3 — например, предоставление публичного доступа по умолчанию — остаются распространённой проблемой: по оценкам экспертов, до 31% подобных хранилищ находятся в открытом доступе. Случай с WorkComposer — далеко не единичный. Ранее подобные утечки уже происходили с другими сервисами для слежения за работой сотрудников, что указывает на системные проблемы в обеспечении безопасности таких инструментов.
