{"id":311096,"date":"2025-04-30T00:05:19","date_gmt":"2025-04-29T22:05:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311096"},"modified":"2025-04-30T14:57:05","modified_gmt":"2025-04-30T12:57:05","slug":"workcomposer-fehlkonfiguration-legt-ueber-21-millionen-screenshots-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/30\/workcomposer-fehlkonfiguration-legt-ueber-21-millionen-screenshots-offen\/","title":{"rendered":"WorkComposer-Fehlkonfiguration legt \u00fcber 21 Millionen Screenshots offen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es ist der absolute Datenschutz-GAU und Alptraum f\u00fcr Unternehmen. Die Fehlkonfiguration einer Software legt Millionen Screenshots mit \u00e4u\u00dferst vertraulichen Daten offen. Ist mit der Mitarbeiter-\u00dcberwachungssoftware WorkComposer durch eine Fehlkonfiguration passiert.<\/p>\n

<\/p>\n

Was ist WorkComposer?<\/h2>\n

\"\"Beim Produkt\u00a0WorkComposer handelt es sich um eine Software zur Zeiterfassung und anschlie\u00dfende Personalanalyse. Der Anbieter wirbt mit einer Software zur Analyse der Mitarbeiterproduktivit\u00e4t, die eine KI-gest\u00fctzte Zeiterfassung und Produktivit\u00e4tsanalyse bietet.<\/p>\n

\"WorkComposer\"<\/p>\n

Bei so etwas bekommen vor allem US-Arbeitgeber \"gl\u00e4nzende Augen\" – in Deutschland d\u00fcrfte der Einsatz am Betriebsrat scheitern. Der US-Anbieter wirbt mit mehr als 200.000 Benutzern und verspricht \"Bullet-Proof-Security\".\u00a0 Die Software ist vergleichbar mit\u00a0 anderen Produkten wie HubStaff, Teramind, ActivTrak, etc.<\/p>\n

Wenn Bullet-Proof-Security schief geht<\/h2>\n

Ein Blog-Leser hat in diesem Kommentar<\/a> auf einen Datenschutz- und Sicherheits-GAU im Zusammenhang mit diesem Anbieter hingewiesen. Auf reddit.com hat jemand zum letzten Wochenende die Details im Beitrag\u00a0WorkComposer Breached – 21 million screenshots leaked, containing sensitive corporate data\/logins\/API keys – due to unsecured S3 bucket<\/a> zusammen getragen.<\/p>\n

Ein US-Unternehmen mit Sitz in Delaware stellt mit WorkComposer ein Tool zur \u00dcberwachung der Mitarbeiterproduktivit\u00e4t bereit, welches sich auf jedem PC installieren l\u00e4sst. Das Tool \u00fcberwacht, welche Anwendungen die Mitarbeiter wie lange nutzen, welche Websites sie besuchen, wie aktiv sie tippen usw.<\/p>\n

Au\u00dferdem werden von der Software alle 20 Sekunden Screenshots zur \u00dcberpr\u00fcfung durch das Management erstellt. Eine Funktion, die mich an Microsofts Recall f\u00fcr Windows erinnert. Diese Screenshots werden nat\u00fcrlich in der Cloud gespeichert.<\/p>\n

Nun hat der Anbieter von WorkComputer einen Fehler begangen, indem ein Amazon S3-Bucket, auf dem die Screenshots und Daten gespeichert werden, offen im Internet erreichbar und ungesch\u00fctzt war. Auf dem AWS S3-Bucket lagen laut Bericht 21 Millionen unredigierte Screenshots offen und ungesch\u00fctzt f\u00fcr jeden im Internet einsehbar bereit.<\/p>\n

Der Poster schreibt, dass der Umfang des Datenlecks schwer abzusch\u00e4tzen sei. Aber das Unternehmen gibt mehr als 200.000 Nutzer als Kundenbasis an. Die\u00a021 Millionen Screenshots d\u00fcrften von \u00fcber 200.000 einzelnen Benutzern\/Mitarbeitern aus m\u00f6glicherweise mehreren Tausend Unternehmen stammen.<\/p>\n

Der Poster meint, dass alle Firmen, die den WorkComposer eingesetzt haben, jetzt erhebliche \"Kopfschmerzen bek\u00e4men\". Dann durch die alle 20 Sekunden angefertigten Screenshots muss alles Vertrauliche, was der Nutzer in den letzten 180 Tagen am Rechner erledigt hat, als kompromittiert gelten. Die Gesch\u00e4ftsf\u00fchrung solle Listen aller Aufgaben, die Mitarbeiter in diesem Zeitraum erledigt haben.<\/p>\n

Da es unwahrscheinlich sei, dass WorkComposer \u00fcber eine ausreichende Protokollierung verf\u00fcgt, um festzustellen, ob jemand anderes auf den S3-Bucket zugegriffen hat, sollten die Nutzer vom Schlimmsten ausgehen. Alle Daten (auch Kundendaten) konnten potentiell von unbefugten Dritten eingesehen werden.\u00a0Die gesamte Arbeit, die an den \u00fcberwachten Systemen erledigt wurde, sowie dort vorhandene Firmengeheimnisse sollten potentiell als kompromittiert betrachtet werden. Die Aufarbeitung des Vorfalls erfordere eine massenhafte R\u00fccksetzung von Passw\u00f6rtern in den einzelnen Systemen, auf die im \u00dcberwachungszeitraum zugegriffen wurde.<\/p>\n

Die Sicherheitsforscher von CyberNews haben den Sachverhalt im Blog-Beitrag\u00a0Employee monitoring app leaks 21 million screenshots in real time<\/a> offen gelegt. Sie gehen davon aus, dass die im S3 Bucket \u00f6ffentlich gewordenen Daten \u00e4u\u00dferst sensibel sind. Die Millionen von Screenshots von den Mitarbeiter-Ger\u00e4ten k\u00f6nnten nicht nur Vollbildaufnahmen von E-Mails, internen Chats und vertraulichen Gesch\u00e4ftsdokumenten enth\u00fcllen. Auch Anmeldeseiten, Anmeldedaten, API-Schl\u00fcssel und andere sensible Informationen\u00a0 d\u00fcrften in den Aufzeichnungen der Software enthalten sein. Diese Informationen k\u00f6nnten f\u00fcr weltweite\u00a0 Angriffe auf Unternehmen genutzt werden.<\/p>\n

Cybernews hat sich mit dem Unternehmen in Verbindung gesetzt, und der Zugang wurde inzwischen abgesichert. Eine offizielle Stellungnahme des Unternehmens steht noch aus. Das offene AWS S3-Bucket wurde am 20. Februar 2025 entdeckt und am Folgetag an den Anbieter gemeldet. CERT wurde am 19. M\u00e4rz 2025 kontaktiert und der Datenvorfall am 1. April 2025 abgeschlossen.<\/p>\n

\u00c4hnlicher Fall mit WebWork im Januar 2025<\/h2>\n

Das Ganze ist \u00fcbrigens kein \"Erstfall\" – ich habe hier im Blog nicht dar\u00fcber berichtet: Aber im Januar 2025 hat mich CyberNews informiert<\/a>, dass man eine ungesch\u00fctzte WebWork Tracker-Anwendung offen im Internet vorgefunden habe. Auch hier war es ein Amazon Web Service (AWS) S3-Bucket, welches ungesichert per Internet erreichbar war.<\/p>\n

Die Anwendung WebWork legte \u00fcber 13 Millionen Protokolle und Screenshots offen, die in einigen F\u00e4llen sensible oder private Informationen enthalten k\u00f6nnten, die nicht \u00f6ffentlich zug\u00e4nglich sein sollten. Zu den Kunden, die den Dienst des Unternehmens nutzen, geh\u00f6ren der in San Francisco ans\u00e4ssige Remote-Hiring-Riese Deel sowie Unternehmen in \u00d6sterreich, den Niederlanden, Indien und den USA. Laut der WebWork Tracker-Website hat die Plattform \u00fcber 140.000 Nutzer und bedient \u00fcber 15.000 Unternehmen weltweit.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nZugangs- und Schlie\u00dfsysteme mit Internetanbindung als Risiko \u2013 Teil 1<\/a>
\nSysteme zur Zeiterfassung mit Internetanbindung als Risiko \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist der absolute Datenschutz-GAU und Alptraum f\u00fcr Unternehmen. Die Fehlkonfiguration einer Software legt Millionen Screenshots mit \u00e4u\u00dferst vertraulichen Daten offen. Ist mit der Mitarbeiter-\u00dcberwachungssoftware WorkComposer durch eine Fehlkonfiguration passiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[4328],"class_list":["post-311096","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311096"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311096\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}