Una massiccia esposizione di dati sensibili ha coinvolto WorkComposer, software di monitoraggio utilizzato da oltre 200.000 dipendenti in migliaia di aziende. A causa di un bucket Amazon S3, spazio di archiviazione cloud utilizzato per conservare file e dati, lasciato accessibile per errore, più di 21 milioni di screenshot catturati automaticamente dai computer degli impiegati sono rimasti visibili online, costituendo un archivio dettagliato e ininterrotto delle attività quotidiane di utenti ignari.

La scoperta è stata segnalata dal team di ricerca di Cybernews, che ha identificato il bucket non protetto e ha informato tempestivamente WorkComposer. L’accesso è stato in seguito bloccato, ma al momento della pubblicazione l’azienda non ha rilasciato alcuna dichiarazione ufficiale sull’accaduto.

Il sistema di WorkComposer registra in modo continuativo l’attività sui terminali monitorati, salvando screenshot a intervalli regolari, tracciando le applicazioni in uso e registrando le digitazioni sulla tastiera. Le immagini esposte contenevano materiale altamente sensibile: email aziendali, documenti riservati, conversazioni interne, schermate di login con credenziali in chiaro, chiavi API, oltre a elementi di natura personale come messaggi privati o riferimenti a appuntamenti medici.

L’accessibilità in tempo reale di questi contenuti avrebbe potuto consentire a soggetti esterni di seguire operazioni aziendali in diretta, con evidenti implicazioni per la sicurezza informatica, la protezione delle identità digitali e la riservatezza delle informazioni gestite dalle aziende coinvolte.

Le conseguenze della violazione si estendono anche sul piano normativo. Le imprese che si affidano a WorkComposer per il controllo dei dipendenti potrebbero ora trovarsi esposte a indagini e sanzioni, in particolare laddove siano soggette a normative come il Regolamento generale sulla protezione dei dati (GDPR) o il California Consumer Privacy Act (CCPA), che impongono obblighi stringenti nella conservazione, protezione e gestione dei dati personali e sensibili. L’incidente mette inoltre in discussione la catena di responsabilità nella fornitura e nell’utilizzo di strumenti di sorveglianza digitale, soprattutto quando mancano adeguate verifiche sulle misure di sicurezza adottate dai fornitori.

La configurazione errata di bucket Amazon S3 rappresenta una delle vulnerabilità più frequenti nella gestione delle infrastrutture cloud. Secondo alcune stime, circa il 31% dei bucket S3 resta accessibile pubblicamente per errore, esponendo le organizzazioni a fughe di dati che, come in questo caso, possono assumere dimensioni critiche. Il caso WorkComposer si inserisce in una serie di incidenti analoghi che negli ultimi anni hanno coinvolto altre piattaforme di tracciamento e software di employee monitoring, a dimostrazione di una fragilità strutturale ancora diffusa nel settore.

Al di là delle vulnerabilità tecniche, l’incidente riaccende il dibattito sull’uso degli strumenti di sorveglianza nei contesti lavorativi. I dipendenti interessati non avevano alcun controllo su ciò che veniva registrato né consapevolezza piena dei contenuti raccolti, che potevano includere aspetti della vita personale o interazioni non pertinenti al contesto professionale.

Il caso evidenzia come la raccolta sistematica di dati visivi, quando non adeguatamente regolata e protetta, possa trasformarsi in una minaccia non solo per la sicurezza aziendale, ma anche per i diritti fondamentali dei lavoratori, mettendo in discussione l’equilibrio tra esigenze di controllo e tutela della sfera privata.