Durante a pandemia e com a adoção forçada do trabalho remoto, alguns chefes obrigaram seus funcionários a instalar sistemas de monitoramento nos seus equipamentos para garantir que realmente trabalhavam durante o expediente.
Segundo publicação do Tom's Guide, uma equipe de segurança cibernética notificou que milhões de capturas de tela de um desses sistemas de monitoramento agora estão acessíveis a qualquer pessoa, comprometendo a segurança das empresas que contrataram esse serviço.
A desconfiança dos chefes
O veículo especializado em segurança cibernética Cybernews repercutiu o que classifica como um dos maiores vazamentos de segurança da empresa WorkComposer, que oferecia um serviço de monitoramento em mais de 200 mil computadores corporativos em empresas ao redor do mundo.
O serviço de monitoramento oferecido pela WorkComposer consistia em fazer capturas periódicas automáticas da tela do computador remoto para confirmar que o funcionário estava realizando suas tarefas designadas, em vez de usar o horário de trabalho para resolver assuntos pessoais. Esses sistemas de monitoramento foram alvo de um debate ético e legal, mas, se o computador era da empresa, ela tinha o direito de instalar o software que julgasse necessário.
O dia de trabalho, captura após captura
Todos esses computadores monitorados geraram dezenas de milhões de capturas de tela periódicas durante toda a jornada. Essas capturas registravam todo tipo de informação confidencial das empresas que os funcionários utilizavam diariamente: e-mails, documentos internos, dados contábeis, etc. O funcionário não tinha consciência do momento exato em que o aplicativo de monitoramento fazia a captura da sua tela, por isso também não poderia evitar a captação desses dados sensíveis.
Além de todos esses dados, as capturas de tela podem ter capturado credenciais de acesso a outros serviços das empresas, caso a captura tenha ocorrido exatamente no momento em que o funcionário estava acessando o serviço, o que representa um risco grave para a segurança.
Uma falha milionária
Segundo a CyberNews, a falha de segurança pode ter afetado cerca de 21 milhões de capturas armazenadas em um servidor da Amazon S3 que não possuía as medidas adequadas de segurança de acesso. Isso permite que qualquer pessoa que faça a busca correta tenha acesso a todo o catálogo de capturas armazenadas ali.
Isso deixou todas as empresas que usaram o serviço de monitoramento remoto da WorkComposer em uma situação de vulnerabilidade diante de ataques de roubo de identidade por meio do furto de credenciais e vazamento de dados internos. Além disso, como não se trata de um ataque a um serviço específico, as empresas afetadas não sabem a extensão da filtragem, o que as obrigará a revisar todas as credenciais e informações sensíveis capturadas pelo sistema de monitoramento.
O RGPD bate à porta
Por outro lado, o vazamento massivo dessas capturas colocará tanto as empresas afetadas quanto a WorkComposer em uma situação complicada. O Xataka Espanha tentou obter declarações da empresa que gerencia essa aplicação, mas não obteve resposta.
O Regulamento Geral de Proteção de Dados (RGPD), vigente na Europa, e algumas leis norte-americanas, como a California Consumer Privacy Act (CCPA), estabelecem que a empresa que captura esses dados é responsável por sua guarda e proteção. A negligência de armazenar milhões de imagens com informações confidenciais em um servidor sem a mínima segurança pode resultar em multas milionárias.
Imagen | Unsplash (Boitumelo)
Este texto foi traduzido/adaptado do site Xataka Espanha.
Ver 0 Comentários