Amazon ha intenzione di monitorare l’utilizzo di mouse e tastiere da parte dei suoi dipendenti, al fine di “proteggere i propri clienti” da impostori e hacker. Questo è quanto ha rivelato Motherboard dopo aver ottenuto l’accesso a un documento riservato.
Un ulteriore giro di vite sui dipendenti Amazon
Motherboard ha reso pubblico il contenuto di un documento interno con il quale il colosso dell’e-commerce si rivolge all’azienda BehavioSec per spiare l’attività dei propri dipendenti in orario di lavoro.
La mossa non emerge dal nulla, anzi ci sono numerosi precedenti: Amazon aveva già indagato sulle attività personali dei suoi lavoratori, soprattutto sugli attivisti per l’ambiente e per le tematiche sociali, e aveva introdotto telecamere intelligenti per monitorare i suoi addetti alle consegne. Aggiungendo orari impossibili, un carico di lavoro esorbitante e condizioni lavorative difficili e spesso irregolari, si dipinge il quadro che ha dato luogo a numerose proteste.
Amazon ammette le proprie debolezze
Nel documento vengono esposti anche diversi casi concreti in cui i dati dei clienti Amazon sono stati rubati e l’azienda rimarca l’importanza di avere a disposizione un software apposito, che però non è ancora stato ben definito.
“Abbiamo una falla di sicurezza in quanto non disponiamo di un meccanismo affidabile per verificare che gli utenti siano chi affermano di essere“, si legge nel documento.
Questo strumento di controllo allontanerebbe due problematiche con cui l’azienda ha avuto più volte a che fare:
- la possibilità che i lavoratori si spaccino per addetti al servizio clienti e riescano ad accedere ai dati dei compratori, un incidente che si è già verificato in passato;
- il rischio di esportazione di dati a seguito dell’introduzione del lavoro da casa.
Sul secondo punto, il documento sottolinea anche l’obiettivo dell’azienda di “ridurre del 100% le esportazioni di dati da parte di impostori“, con il fine ultimo di arrivare a zero casi all’anno entro la fine del 2022. Attualmente, il problema dell’esfiltrazione è aggravato dall’alto numero di dipendenti che lavorano da casa: le possibilità per l’azienda di controllare l’identità dei lavoratori esterni o in outsourcing è limitata. In più, Amazon opera proprio in quelle che descrive come “aree ad alto rischio”, con un alto livello di corruzione e criminalità.
Un grafico nel documento elenca i Paesi dove Amazon riscontra il maggior numero di minacce. In cima c’è l’India con più di 120 incidenti legati alla sicurezza dei dati dei clienti, al secondo posto ci sono le Filippine con poco meno di 70 incidenti e in terza posizione gli Stati Uniti con quasi 40 incidenti. Purtroppo il grafico non fornisce un contesto su cosa sia esattamente successo in questi “episodi”.
Mouse e tastiere sotto osservazione con il software di BehavioSec
Amazon nel documento sostiene di voler quindi implementare una soluzione che acquisisca tutte le sequenze di tasti digitate dai lavoratori. I dipendenti verranno spiati? Non proprio: lo strumento che l’azienda vorrebbe acquistare si limita a generare un profilo del dipendente basato sui movimenti naturali della tastiera e del mouse, per poi tracciarne costantemente l’attività al fine di riconoscere se la persona rimane la stessa nei turni successivi. Non è detto che il software scelto sarà questo, però, e tutte le opzioni sono ancora aperte.
“Stiamo valutando un’opzione che includa l’acquisizione di tutte le sequenze di tasti“, si legge nel documento.
L’introduzione del software, qualunque esso sia, evidenzia le misure che le aziende possono implementare per controllare l’operato dei propri dipendenti, anche quando questi lavorano da casa o da remoto. Anche in un ambiente “personale”, infatti, le minacce sono dietro l’angolo.
I rischi dello smart working per un’azienda come Amazon
Il documento fornisce proprio diverse casistiche legate a un ambiente informale e lontano dalla supervisione dell’azienda: ad esempio, un operatore dell’assistenza clienti potrebbe allontanarsi dal proprio computer senza bloccarlo e un suo coinquilino potrebbe metter mano a dati sensibili, vuoi per curiosità o con malizia. Un altro caso esamina la possibilità che un dipendente riesca a rubare migliaia di record dei clienti in meno di un’ora trasferendoli in un dispositivo USB detto “Rubber Ducky”, dal costo di appena 50 dollari. Un terzo esempio introduce il rischio che persone terze possano acquistare da un addetto al servizio clienti le sue credenziali e il suo dispositivo di autenticazione a più fattori, utilizzarli per accedere al sistema e rubare i dati.
Secondo il documento trapelato, una serie di controlli manuali effettuati dal team di sicurezza di Amazon ha trovato quattro casi in cui alcuni impostori hanno effettivamente avuto accesso a tali dati.
“La sicurezza dei clienti è una delle nostre priorità”
Di fronte alla divulgazione di questo documento riservato, l’azienda tiene a chiarire alcuni punti.
“Mantenere la sicurezza e la riservatezza dei dati di clienti e dipendenti è una delle nostre priorità principali”, ha dichiarato a Motherboard Barbara Agrait, responsabile delle pubbliche relazioni di Amazon.
La tipologia dello strumento utilizzato per il controllo fa storcere il naso a molti, ma nulla di tutto ciò è illegale.
“Sebbene non condividiamo i dettagli delle tecnologie che utilizziamo, stiamo continuamente esplorando e testando nuovi modi per salvaguardare i dati relativi ai clienti nel rispetto della privacy dei nostri dipendenti. E lo facciamo rimanendo nel rispetto delle leggi e dei regolamenti sulla privacy applicabili”, sottolinea la responsabile.
La biometrica come strumento di sicurezza
Il riconoscimento dei dipendenti tramite caratteristiche individuali o comportamenti unici rientra nel campo della biometrica, un valido aiuto nel verificare l’identità dei dipendenti ed evitare che dati sensibili siano accessibili alle persone sbagliate.
“La biometria comportamentale utilizza le caratteristiche del comportamento umano per autenticare gli individui in base a come interagiscono digitalmente con dispositivi e app, come i movimenti del mouse, il ritmo della digitazione, i gesti di tocco e scorrimento o il modo in cui tengono il dispositivo”, si legge sul sito web di BehavioSec.
L’acquisto del software di BehavioSec per circa 750.000 dipendenti, la “soglia” dalla quale la licenza diventerà conveniente, costererebbe 1.360.000 dollari.
Fonti: Vice.
