WebWork Time Tracker, platforma za praćenje rada zaposlenika sa sjedištem u Erevanu, Armenija, suočava se s ozbiljnim sigurnosnim propustom koji je doveo do izlaganja više od 13 milijuna snimki zaslona korisničkih uređaja.

Ove snimke, koje prikazuju aktivnosti zaposlenika tijekom rada, pohranjene su na nezaštićenom Amazon S3 spremištu bez potrebne autentifikacije, čime su postale javno dostupne. Unatoč tvrdnjama tvrtke da su podaci end-to-end enkriptirani, otkriveno je da to nije slučaj, jer bi u suprotnom pristup podacima bio moguć samo s odgovarajućim ključem za dekripciju.

Među klijentima koji koriste usluge WebWork Trackera su i velike međunarodne tvrtke, uključujući Deel iz San Francisca, te poduzeća iz Austrije, Nizozemske, Indije i SAD-a. Prema informacijama s web stranice tvrtke, platforma ima preko 140.000 korisnika i služi više od 15.000 poduzeća diljem svijeta.

Ovaj sigurnosni propust predstavlja ozbiljno kršenje zakona o zaštiti podataka, poput Opće uredbe o zaštiti podataka (GDPR) u Europi ili Kalifornijskog zakona o zaštiti privatnosti potrošača (CCPA). Takva kršenja mogu rezultirati novčanim kaznama u iznosu od 2% do 4% ukupnog godišnjeg prihoda tvrtke na globalnoj razini.

Osim financijskih posljedica, izloženi podaci povećavaju rizik od napada na opskrbni lanac, gdje napadači iskorištavaju slabe točke trećih strana kako bi pristupili sustavima i podacima organizacija. Snimke zaslona mogu sadržavati osobne podatke, povjerljive poslovne informacije, vjerodajnice za prijavu i druge osjetljive informacije koje mogu biti zloupotrijebljene.

Unatoč višestrukim pokušajima kontaktiranja, tvrtka nije pružila komentar na ovu situaciju.

Izvor: cybernews.com