虽然该追踪平台声称对数据进行了加密,但超过 1300 万张包含敏感信息的截图是公开的,使用户和客户端面临被攻击的风险。
6 月 11 日,Cybernews 研究团队发现一个与 WebWork Tracker 应用程序相关的不受保护的 Amazon S3 存储存储桶,该存储桶由位于亚美尼亚埃里温的一家软件公司运营。
该公司提供多种服务来组织劳动力,例如跟踪远程工作者的时间和生产力以及计费服务。
使用该公司服务的客户包括总部位于旧金山的远程招聘巨头 Deel,以及奥地利、荷兰、印度和美国的企业。
据 WebWork Tracker 网站称,该平台拥有超过 140,000 名用户,为全球超过 15,000 家企业提供服务。
该公司的时间跟踪应用程序会截取用户的屏幕,以便向雇主展示远程工作者的工作内容。
这些截图被上传到公司的云端,但云端配置错误且缺乏身份验证。
截至撰写本文时,泄漏的存储桶已存储了超过 1300 万份日志和屏幕截图。
具体文件数量未知,因为文件数量在不断增加。
该公司在其网站上声称,这些截图经过端到端加密,并存储在 Amazon S3 云中以确保安全。
事实并非如此,因为如果没有解密密钥,加密数据将无法访问,而泄漏存储桶并非如此。
网络安全漏洞造成的损害远不止声誉受损。
不确保安全,公司就违反了数据保护法,例如欧洲《通用数据保护条例》(GDPR)或《加州消费者隐私法案》(CCPA)。
违规行为可能导致公司被处以相当于其全球年总收入 2% 至 4% 的罚款。
此外,留在互联网上的数据集将成为威胁行为者的宝库,并大大增加了供应链攻击的风险。
此类网络攻击针对网络中的薄弱环节,如第三方供应商或供应商,以获取组织的系统和数据。
来自远程员工设备的数百万张截图不仅可能暴露个人数据或机密商业信息,还可能包含凭证、API 密钥和其他敏感信息,这些信息可被利用来攻击全球企业。
Cybernews 多次联系该公司但尚未收到回复。
为了避免泄露个人数据,研究人员建议公司:
- 使用适当的访问控制保护暴露的存储桶,并确保其受密码保护;
- 进行彻底的安全审核,以识别并纠正任何其他潜在漏洞;
- 实施定期安全监控和事件响应协议;
- 对员工进行数据安全最佳实践培训,以防止将来发生违规行为。
