Устройство для имитации непрерывного движения мышкой на ПК без пользователя.

По информации Vice, Amazon будет отслеживать движения мышки и нажатия на клавиатуру сотрудников техподдержки на удаленке. Это нужно для их идентификации и блокирования доступа мошенников и хакеров к персональным данным клиентов компании, которые уже несколько раз успешно выдавали себя за сотрудников службы поддержки Amazon и получали доступ к конфиденциальным данным пользователей с помощью социальной инженерии.

Amazon будет для этого использовать программное решение «цифровой профиль сотрудника» от ИБ-компании BehavioSec, которая более пяти лет занимается идентификацией пользователей по поведенческим параметрам.

Amazon пояснила во внутреннем документе, который получила Vice, что новая система слежения за сотрудниками не будет фиксировать сайты и приложения, на который заходит и запускает сотрудник. Также эта система не будет вести логи клавиатурных нажатий при выполнении сотрудником рабочей переписки. Компания уточнила, что специальное ПО будет анализировать естественные движения при работе сотрудника на клавиатуре и мыши, а затем постоянно проверять, что это один и тот же пользователь работает под своей учетной записью техподдержки.

Amazon призналась сотрудникам, что у компании есть брешь в безопасности, поскольку сейчас нет надежного механизма для проверки того, что сотрудники техподдержки на удаленке являются теми, за кого они себя выдают. Это произошло оттого, что все больше сотрудников компании работают из дома и их сложно контролировать. Например, он может отойти от компьютера и не заблокировать его, а кто-то другой дома воспользуется этой ситуацией и сможет посмотреть данные клиентов и их заказы в личных целях.

Также Amazon сетует, что у нее есть проблемы при проверке личностей внешних сотрудников, привлеченных на аутсорсинг, особенно, если они из тех стран, где высокий уровень коррупции и преступности.

В документе для сотрудников Amazon указала, что на первом месте по инцидентам с использованием сотрудниками компании или злоумышленниками личных данных клиентов в своих целях находится Индия, на втором Филиппины, а на третьем США.

Компания привела примеры проблемных ситуаций, которые недавно зафиксировала ее служба безопасности. Так, один сотрудник техподдержки массово собирал в своих целях информацию о клиентах с помощью инструмента внутреннего поиска в информационной системе Amazon. Он использовал устройство USB Rubber Ducky, с помощью которого смог украсть тысячи записей клиентов менее чем за час. В другом случае злоумышленник купил действующие учетные данные у сотрудника службы поддержки клиентов Amazon и даже его устройство многофакторной аутентификации, чтобы зайти в систему для кражи данных клиентов.

Amazon планирует начать развертывание системы мониторинга за сотрудниками на удаленке уже в этом году. Компания рассчитывает с ее помощью до конца 2022 года полностью сократить количество случаев краж данных клиентов. Юристы Amazon в настоящее время стараются урегулировать вопросы конфиденциальности, связанные со сбором данных о нажатиях клавиш сотрудниками. Они хотят, чтобы этот процесс был анонимным для обеспечения безопасности сотрудников техподдержки.

8 августа СМИ сообщили, что находящиеся на удаленке работники крупнейшего в мире аутсорсингового колл-центра Teleperformance вынуждены соглашаться на видеонаблюдение в своих домах под угрозой увольнения. В числе клиентов компании Apple, Amazon и Uber. Система видеонаблюдения определяет, когда сотрудники не используют клавиатуру или мышь, и помечает их как бездействующих, чтобы штрафовать и не платить за работу. Amazon тогда пояснила, что не проводит мониторинг работников колл-центра на удаленке.