Các ảnh chụp màn hình của các công cụ nội bộ — Slack, Notion, Jira, Google Drive — thường chứa Dữ liệu Cá nhân (PII):
- ID Khách hàng
- Tên khách hàng hoặc email
- Địa chỉ IP
- Mã sản phẩm hoặc mã hóa đơn
- Bất kỳ dữ liệu nào từ cơ sở dữ liệu sản xuất
Sự Cố Thường Xảy Ra
Một kỹ sư báo cáo lỗi trong Slack:
- "Lỗi khi tạo đơn đặt hàng cho khách hàng 12345: SQL query trả về NULL"
- Anh ta quét một ảnh chụp màn hình của nhật ký lỗi, hiển thị:
- ID Khách hàng
- Tên khách hàng
- Số tài khoản ngân hàng
- SQL query (tiết lộ cấu trúc cơ sở dữ liệu)
Slack lưu trữ ảnh vô thời hạn. Nếu bị hack, tất cả ảnh chụp màn hình lịch sử bị lộ.
GDPR Ý Nghĩa
Nếu PII được tiết lộ (ngay cả thông qua ảnh chụp màn hình nội bộ), đó là vi phạm GDPR:
- Thông báo: 72 giờ
- Ghi lại: Tất cả các bước gây ra tiếp xúc
- Giảm Thiểu: Xóa dữ liệu, mật khẩu được đặt lại, v.v.
Solutions:
- Phát hiện PII tự động: Công cụ quét ảnh chụp màn hình trước khi tải lên Slack
- Redaction: Làm mờ hoặc xóa PII từ ảnh
- Chính sách: Nếu bạn tải lên ảnh chứa PII, nó sẽ bị xóa trong 24 giờ
Sources: