一款本应用于监视员工的监控工具,却正在将数百万张实时截图泄露到公开网络上。你的老板在监视你的屏幕并不是故事的结局。其他人也可能正在观看。Cybernews的研究人员发现了一起涉及WorkComposer的重大隐私泄露事件。WorkComposer是一款职场监控应用,被无数公司的20多万用户使用。
这款应用旨在通过记录活动和定期拍摄员工屏幕的截图来跟踪工作效率,但却在一个未受保护的亚马逊S3存储桶中暴露了超过2100万张图像,实时展示了员工们如何度过他们的每一天。
泄露的数据极为敏感,因为来自员工设备的数百万张截图,不仅会暴露电子邮件、内部聊天和机密业务文档的全屏截图,还可能包含登录页面、凭证、API密钥和其他敏感信息,这些信息可能会被利用来攻击全球的企业。
Cybernews联系了该公司,目前访问权限已被保护。官方评论尚未收到。
泄露数据的屏幕截图
为何泄露截图问题如此严重
本仅供内部人员查看的电子邮件、文档和项目,现在任何拥有互联网连接的人都可以随意查看。
截图中可见的用户名和密码可能会导致帐户被劫持,并引发全球企业更深层次的泄露事件。
使用WorkComposer的公司现在可能正面临欧洲通用数据保护条例(GDPR)或加利福尼亚州消费者隐私法案(CCPA)等法规的违规风险,以及其他法律噩梦。
实时跟踪工具正在泄露数据
WorkComposer是潜入现代工作文化中的众多实时跟踪工具之一。该软件打着让团队“负责”的旗号进行营销,会记录击键次数、跟踪你在每个应用程序上花费的实时,并每隔几分钟拍摄一次桌面截图。
此次泄露表明,当忽视基本安全意识时,这种设置会变得多么危险。如此大规模的信息泄露,使日常的工作活动成为了网络罪犯的金矿。
捕捉登录页面、电子邮件收件箱、内部消息平台和财务文档的截图,为公司及其员工的内部运作提供了一个窗口。
泄露数据的屏幕截图
一张暴露的截图,如果显示了可见的密码、API密钥或敏感对话,可能会导致凭证被盗、网络钓鱼攻击,甚至商业间谍活动。
泄露的实时性只会加剧危险,因为威胁行为者可以实时监控正在进行的业务运营,从而访问原本被锁定的环境。
除了直接的网络安全风险外,还存在深刻的隐私侵犯问题。实时跟踪工具本就处于模糊的道德领域,打着提高生产率的旗号,每分钟都在捕捉员工数字行为的快照。
员工无法控制最终会出现在这些截图中的内容——无论是个人电子邮件、医疗预约还是机密项目。随着数百万张图像在公众中流传,不仅企业数据处于危险之中——人们也处于危险之中。
虽然情况令人担忧,但实时跟踪应用将员工的数字生活泄露到互联网上的情况绝非首次。
在Cybernews之前的一项调查中,一款面向远程团队的跟踪器WebWork被发现泄露了超过1300万张截图,其中充满了电子邮件、密码和员工工作日的其他私人片段。
原文作者:Paulina Okunytė
原文标题:《Employee monitoring app leaks 21 million screenshots in real time》
原文链接:https://cybernews.com/security/employee-monitoring-app-leaks-millions-screenshots/
泄露数据的屏幕截图
