WebWork 时间追踪应用程式资安漏洞

重点摘要

WebWork 是一款被全球超过 15000 个组织使用的时间追踪应用程式，包括知名的远端招聘公司 Deel。最近，因其 Amazon AWS S3 储存桶配置错误，超过 1300 万条日志和截图被公开，造成严重资安风险。这一资安疏失违反了欧盟的一般数据保护条例GDPR、加州消费者隐私法CCPA等数据隐私法规，可能导致供应链攻击。专家呼吁 WebWork 立即对漏洞的储存桶进行关闭，并执行全面的安全审计和员工的安全意识培训。

根据 Cybernews 的报导，WebWork 发现其 AWS S3 储存桶配置错误后，依然未能采取及时的保护措施。储存桶中持续增加的文件令情况更加危急，研究人员质疑这些日志所谓的端到端加密保护的有效性。

资安背景根据研究人员的观察，该资安事故不仅违反了多项法律法规，且提升了供应链攻击的风险，威胁到 WebWork 客户及用户的个人与商业资讯，包括 API 密钥、凭证及其他敏感数据。

WebWork 被敦促不仅要立即关闭泄漏的储存桶，还需实施全面的安全审计、事件应对协议，并开展数据安全意识培训，以确保不再发生类似事件。