Pinterest fyrede ingeniører, der sporede fyringer i Slack - hvad det siger om privatliv, tillid og intern telemetri

/Generel/ Af

Pinterest fyrede angiveligt to ingeniører, efter at de havde skrevet manuskripter for at identificere, hvilke kolleger der blev fjernet fra interne værktøjer under en fyring – og derefter delt den liste bredere. På overfladen er dette et drama på arbejdspladsen. Nedenunder er det et usædvanligt tydeligt casestudie af, hvordan moderne virksomheder rent faktisk fungerer: identitetssystemer som kilde til sandhed, chatplatforme som de facto organisationsdiagrammer og "interne data", der er teknisk tilgængelige længe før, de er socialt acceptable.

Hændelsen har betydning ud over Pinterest, fordi de samme ingredienser findes i næsten alle tech-virksomheder: centraliseret identitet, Slack eller Teams, HR-systemer og en lang række interne dashboards og API'er. Når tiderne er rolige, tænker ingen for meget over grænsen mellem observerbarhed og overvågning. Når der sker fyringer, lyser den grænse op.

I denne forklaring vil vi se på, hvad der sandsynligvis er sket, hvorfor det er fristende at udføre denne form for sporing, hvor det krydser etiske og politiske grænser, og hvad organisationer kan gøre for at reducere både skade på privatlivets fred og trangen til indsamling af skyggeinformation.

Hvad der skete (og hvad "et manuskript" sandsynligvis betyder her)

Ifølge BBC skrev Pinterest, at "to ingeniører skrev brugerdefinerede scripts, hvor de ukorrekt tilgik fortrolige virksomhedsoplysninger for at identificere placeringen og navnene på alle afskedigede medarbejdere og derefter delte dem bredere", og kaldte det en politikovertrædelse og et privatlivsproblem for de berørte medarbejdere. Rapporten beskriver også mekanismen som en overvågning af medarbejdernavne, der fjernes eller deaktiveres i et internt kommunikationsværktøj "som Slack".

I mange virksomheder er Slack (eller lignende) knyttet direkte til identitetsudbyderen (Okta, Azure AD, Google Workspace osv.). Når en konto deaktiveres, følger en kaskade: adgangstokens udløber, grupper ændres, og brugeren holder op med at blive vist i bestemte katalogsøgninger, kanaler og integrationer. Hvis du har API-adgang (selv skrivebeskyttet), kan du ofte udlede, hvem der blev opsagt, blot ved at registrere tilstandsændringer:

  • En bruger forsvinder fra listen over "aktive brugere".
  • En brugers profil bliver deaktiveret.
  • En bot kan ikke længere sende dem en privat besked.
  • Deres medlemskab ændrer sig på tværs af kanaler eller brugergrupper.

Et "script" i denne sammenhæng behøver ikke at være sofistikeret. Det kunne være et par dusin kodelinjer, der afspørger en API, sammenligner gårsdagens brugerliste med dagens og udsender en alarm. Fra et rent teknisk perspektiv er det det samme mønster, som ingeniører bruger til legitime driftsopgaver: at differentiere to snapshots for at registrere ændringer.

Forskellen er, hvad der opdages (personer), hvorfor det opdages (fyringer), og hvor resultaterne ender (deles bredt).

Hvorfor medarbejdere gør dette under afskedigelser

Der er en ubehagelig sandhed om fyringer: folk lærer normalt begivenhedens form gennem sidekanaler, før ledelsen præciserer noget. Nogle gange er det fordi ledelsen ikke kan dele detaljer endnu. Nogle gange er det fordi "vi arbejder stadig på detaljerne" er en eufemisme for "vi ønsker ikke at sige noget".

Så medarbejderne griber efter de signaler, der findes:

  • Vennerne bliver pludselig stille.
  • Kalenderinvitationer forsvinder.
  • Adgang til depoter er tilbagekaldt.
  • Slack-status skifter, eller personen forsvinder fra mappen.

At spore disse signaler kan føles som selvforsvar. Folk vil gerne vide:

  • Er mit hold påvirket?
  • Blev min chef fyret?
  • Er mine nærmeste samarbejdspartnere stadig her?
  • Er virksomheden okay, eller er der tale om en større omstrukturering?

Den motivation er menneskelig og forudsigelig. Men forudsigelig adfærd kan stadig være skadelig adfærd.

Privatlivsproblemet: Afskedigelsesstatus er følsomme oplysninger

En opsigelsesbegivenhed er ikke bare "arbejdsmæssige trivialiteter". Det er følsomme personlige oplysninger om en persons ansættelsesstatus, ofte knyttet til ydelser, immigration, sundhedsforsikring og fremtidige jobmuligheder.

Selv hvis en virksomhed planlægger at annoncere en reduktion i antallet af medarbejdere offentligt, er det typisk meningen, at personernes identitet og deres placering skal offentliggøres efter behov:

  • HR og løn har brug for detaljer.
  • IT skal udføre offboarding.
  • Juridiske behov for at sikre overholdelse af regler.
  • Ledere skal kommunikere direkte med deres teams.

Bred intern deling af en liste over opsagte medarbejdere er anderledes. Det kan:

  • Fjern den berørte persons evne til at kontrollere fortællingen.
  • Afslør en persons placering eller holdtilhørsforhold.
  • Opfordr til sladder og spekulationer (“var det en performance?”, “var det politisk?”).
  • Øg risikoen for målrettet chikane eller doxing uden for virksomheden.

Pinterests framing – at det krænkede tidligere kollegers privatliv – er ikke bare PR. Det er en reel kategori af skade.

Sikkerhedsproblemet: Adgangskontrol er ikke det samme som autorisation

Mange interne systemer arbejder med grove tilladelser: Hvis du er ingeniør, kan du muligvis forespørge på en mappe eller bruge en intern API. Det betyder ikke, at du er autoriseret til at bruge den til alle formål.

Det er her, mange organisationer kæmper. De udvikler interne værktøjer, der er:

  • Nem at bruge,
  • Kraftig,
  • Dårligt styret.

Og så er de afhængige af politikken ("gør ikke det") som det primære autoværn. Når presset er højt, svigter autoværn, der kun er baseret på politikker.

NIST SP 800-53 er et af de standardkataloger, som organisationer bruger til at tænke på kontrolfamilier som adgangskontrol og revision. Selv uden at fare vild i kontrol-ID'er, gælder den grundlæggende idé tydeligt her: dataadgang bør begrænses, overvåges og kunne tilskrives legitime forretningsformål – især for følsomme informationskategorier.

Med andre ord: "Du kan teknisk set læse dette" bør aldrig forstås som "det er fint, at du læser dette".

Det kulturelle problem: Slack er blevet organisationsdiagrammet

De fleste virksomheder har nu to parallelle virkeligheder:

  1. Den formelle virkelighed: HR-systemer, rapporteringslinjer, officielle meddelelser.
  2. Den levede virkelighed: Slack-kanaler, gruppe-DM'er, GitHub-omtaler, rotationer på vagter.

Når noget ændrer sig i det formelle system (som offboarding), skaber det øjeblikkeligt synlige artefakter i det levede system. Medarbejdere fortolker disse artefakter som sandhed – nogle gange stærkere end de stoler på ledelsens kommunikation.

Den uoverensstemmelse skaber et perverst incitament:

  • Hvis ledelsen ikke fortæller dig, hvad der sker,
  • Du vil rekonstruere det fra eventuelle telemetrilækager.

Denne hændelse er en påmindelse om, at "intern gennemsigtighed" ikke bare er en kommunikationsstrategi – det er også en informationssikkerhedsstrategi. Hvis folk føler, at de skal stykke virkeligheden sammen fra lækager, vil de gøre det.

Hvor ingeniørerne krydsede grænsen

Selv hvis du har empati med, hvorfor nogen måske opbygger sådan et manuskript, er der mindst tre klare linjer, der krydses:

1) Formålsbegrænsning

Hvis datakilden er "fortrolige virksomhedsoplysninger", er forventningen, at den bruges til en legitim forretningsfunktion, ikke til rekognoscering af afskedigelser.

NIST's Privacy Framework lægger vægt på håndtering af privatlivsrisici og anvendelse af praksisser, der beskytter enkeltpersoner. En praktisk oversættelse er "indsamle og bruge data til specifikke, legitime formål og undgå sekundære anvendelser, der skaber nye skader".

Et script til at identificere opsagte kolleger er næsten definitionsmæssigt en sekundær anvendelse: offboarding-signalerne eksisterer for at beskytte systemer og udføre HR-processer, ikke for at generere en intern afskedigelsesliste.

2) Forstærkning

Folk bemærker forsvindinger i Slack organisk – det er lækage af omgivende information.

Et script omdanner lækage fra omgivelserne til et struktureret datasæt (navne, placeringer, sandsynlige hold, tidspunkt for ophør). Det er forstærkning: skadepotentialet stiger kraftigt, når vage signaler bliver til en ren liste.

3) Omfordeling

Det er det skridt, der gør det svært at forsvare outputtet som ren kuriositet, når det kommer til at blive delt "mere bredt". Det skaber en ny distributionskanal for følsomme oplysninger og gør forfatterne ansvarlige for misbrug efterfølgende.

Hvad virksomheder kan gøre: reducere lækage, øge tillid og stramme kontrollen

Der er en misforståelse om, at løsningen er at "låse alt ned". I praksis er der brug for tre supplerende træk: styring, tekniske kontroller og kommunikation.

1) Behandl offboarding-begivenheder som følsomme, og sørg for at designe dem med fokus på privatlivets fred

Offboarding ændrer uundgåeligt systemer, men du kan reducere informationsudstødningen:

  • Minimér ændringer i den offentlige telefonbog, indtil kommunikationen finder sted.
  • Undgå massefjernelse af brugere, der er lette at ændre.
  • Overvej at udskyde visse ikke-sikkerhedskritiske opdateringer med flere timer, så de ikke fungerer som et realtidsfeed for afskedigelser.

Målet er ikke at skjule virkeligheden for evigt. Det er at undgå at forvandle en smertefuld begivenhed til en skattejagt.

2) Tilføj formålsbaseret adgangskontrol og logføring

Hvis interne API'er kan afsløre ændringer i medarbejderstatus i stor skala, så:

  • Adgang bør begrænses til roller, der har brug for det.
  • Bulkeksport bør kræve begrundelse.
  • Forespørgsler skal logges med identitet og hensigt.
  • Automatiserede afstemninger bør skille sig ud.

Det er her, at "revision og ansvarlighed"-tankegangen er vigtig: hvis et script opregner brugere og udsender advarsler, bør det udløse detektion.

3) Hav en human kommunikationsplan for fyringer

Den største drivkraft bag skyggesporing er usikkerhed.

Virksomheder kan reducere impulsen til at scrape interne værktøjer ved at være eksplicitte:

  • Hvornår vil berørte medarbejdere blive informeret?
  • Hvornår vil holdene blive informeret?
  • Hvad kan deles, og hvornår?
  • Hvor skal folk henvende sig for at få bekræftede opdateringer?

Hvis ledelsen leverer rettidig og specifik information, falder "behovet" for gør-det-selv-lister.

4) Giv medarbejderne en godkendt måde at tjekke samarbejdspartnere på

Dette er subtilt, men vigtigt. Folk er ikke kun nysgerrige – de prøver at koordinere arbejde og tjekke venners måde at være sammen på.

En simpel, godkendt statusmeddelelse i kataloget ("denne konto er ikke længere aktiv") uden tidsstempler, placering eller lister kunne opfylde basale behov uden at muliggøre masserekonstruktion.

En bredere tendens: fyringer som en stresstest for informationssikkerhed

Fyringer afslører svagheder i ledelsen, fordi de skaber:

  • en række følsomme begivenheder,
  • en høj følelsesmæssig temperatur,
  • og en masse adgangschurn.

Det er præcis, når man ser kantsager: medarbejdere, der scraper systemer, ledere, der improviserer, og værktøjer, der bruges på måder, som ingen har designet til.

Sider som Layoffs.fyi eksisterer, fordi folk ønsker et uafhængigt signal om omfanget af nedskæringer i branchen. Inden for en virksomhed eksisterer det samme behov – bortset fra at signalerne er mere direkte, og indsatsen er personlig.

Konklusion

At Pinterest fyrer ingeniører for at lave scripts til registrering af afskedigelser er ikke bare "vær ikke nysgerrig". Det er en advarsel om, at intern observerbarhed kan blive til intern overvågning i det øjeblik, organisationens tillid falder.

Hvis dine værktøjer gør det nemt at forvandle identitetsskift til en liste over opsagte kolleger, vil folk gøre det – især under fyringer. Løsningen er ikke kun at straffe de mennesker, der skrev manuskriptet; den er at opbygge systemer og kommunikationspraksisser, der ikke forvandler offboarding til en datalækage, og som behandler ansættelsesstatus som de følsomme oplysninger, den er.

Kilder

Document Title
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Page Content
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Nature
Climate
/
General
/ By
Admin
Pinterest reportedly fired two engineers after they wrote scripts to identify which coworkers were being removed from internal tools during a layoff — and then shared that list more broadly. On the surface, this is a workplace drama story. Underneath, it’s an unusually clear case study in how modern companies actually run: identity systems as the source of truth, chat platforms as de facto org charts, and “internal data” that is technically accessible long before it is socially acceptable.
The incident matters beyond Pinterest because the same ingredients exist in almost every tech company: centralized identity, Slack or Teams, HR systems, and a long tail of internal dashboards and APIs. When times are calm, nobody thinks too hard about the line between observability and surveillance. When layoffs happen, that line lights up.
In this explainer, we’ll look at what likely happened, why it’s tempting to do this kind of tracking, where it crosses ethical and policy boundaries, and what organizations can do to reduce both privacy harm and the urge for shadow information-gathering.
What happened (and what “a script” probably means here)
According to the BBC, Pinterest said “two engineers wrote custom scripts improperly accessing confidential company information to identify the locations and names of all dismissed employees and then shared it more broadly,” calling it a policy violation and a privacy issue for affected staff. The reporting also describes the mechanism as watching for employee names being removed or deactivated inside an internal communication tool “like Slack.”
In many companies, Slack (or similar) is tied directly to the identity provider (Okta, Azure AD, Google Workspace, etc.). When an account is disabled, a cascade follows: access tokens expire, groups change, and the user stops appearing in certain directory searches, channels, and integrations. If you have API access (even read-only), you can often infer who was terminated simply by detecting state changes:
A user disappears from the “active users” list.
A user’s profile becomes deactivated.
A bot can no longer DM them.
Their membership changes across channels or user groups.
A “script” in this context doesn’t have to be sophisticated. It could be a few dozen lines of code polling an API, comparing yesterday’s user list to today’s, and emitting an alert. From a purely technical perspective, it’s the same pattern engineers use for legitimate operational tasks: diffing two snapshots to detect change.
The difference is what is being detected (people), why it’s being detected (layoffs), and where the results go (shared broadly).
Why employees do this during layoffs
There’s an uncomfortable truth about layoffs: people usually learn the shape of the event through side channels before leadership clarifies anything. Sometimes that’s because leadership can’t share details yet. Sometimes it’s because “we’re still working through the details” is a euphemism for “we don’t want to say.”
So employees reach for whatever signals exist:
Friends suddenly go silent.
Calendar invites vanish.
Access to repos is revoked.
Slack status flips, or the person disappears from the directory.
Tracking those signals can feel like self-defense. People want to know:
Is my team impacted?
Did my manager get cut?
Are my closest collaborators still here?
Is the company okay, or is this a larger restructuring?
That motivation is human and predictable. But predictable behavior can still be harmful behavior.
The privacy problem: layoff status is sensitive information
A termination event is not just “work trivia.” It’s sensitive personal information about someone’s employment status, often tied to benefits, immigration, health insurance, and future job prospects.
Even if a company plans to announce a headcount reduction publicly, the identity of the individuals and their locations is typically meant to be disclosed on a need-to-know basis:
HR and payroll need details.
IT needs to execute offboarding.
Legal needs to ensure compliance.
Managers need to communicate directly with their teams.
Broad internal sharing of a list of terminated employees is different. It can:
Remove the affected person’s ability to control the narrative.
Expose someone’s location or team affiliation.
Encourage gossip and speculation (“was it performance?” “was it political?”).
Increase the risk of targeted harassment or doxxing outside the company.
Pinterest’s framing — that it violated former colleagues’ privacy — is not just PR. It’s a real category of harm.
The security problem: access control isn’t the same as authorization
Many internal systems work on coarse permissions: if you’re an engineer, you might be able to query a directory or use an internal API. That doesn’t mean you’re authorized to use it for every purpose.
This is where a lot of organizations struggle. They build internal tools that are:
Easy to use,
Powerful,
Poorly governed.
And then they rely on policy (“don’t do that”) as the primary guardrail. When the pressure is high, policy-only guardrails fail.
NIST SP 800-53 is one of the standard catalogs organizations use to think about control families like access control and auditing. Even without getting lost in control IDs, the basic idea applies cleanly here: data access should be constrained, monitored, and attributable to legitimate business purposes — especially for sensitive categories of information.
In other words: “you can technically read this” should never be treated as “it’s fine for you to read this.”
The cultural problem: Slack has become the org chart
Most companies now have two parallel realities:
The formal reality: HR systems, reporting lines, official announcements.
The lived reality: Slack channels, group DMs, GitHub mentions, on-call rotations.
When something changes in the formal system (like offboarding), it immediately produces visible artifacts in the lived system. Employees interpret those artifacts as truth — sometimes more strongly than they trust leadership communications.
That mismatch creates a perverse incentive:
If leadership won’t tell you what’s happening,
you will reconstruct it from whatever telemetry leaks.
This incident is a reminder that “internal transparency” is not just a comms strategy — it’s also an information-security strategy. If people feel they must piece together reality from leaks, they will.
Where the engineers crossed the line
Even if you empathize with why someone might build such a script, there are at least three bright lines that get crossed:
1) Purpose limitation
If the data source is “confidential company information,” the expectation is that it’s used for a legitimate business function, not for layoff reconnaissance.
NIST’s Privacy Framework emphasizes managing privacy risk and using practices that protect individuals. A practical translation is “collect and use data for specific, legitimate purposes, and avoid secondary uses that create new harms.”
A script to identify terminated colleagues is almost definitionally a secondary use: the offboarding signals exist to protect systems and execute HR processes, not to generate an internal layoff list.
2) Amplification
People notice disappearances in Slack organically — that’s ambient information leakage.
A script turns ambient leakage into a structured dataset (names, locations, likely teams, time of termination). That is amplification: the harm potential rises sharply when vague signals become a clean list.
3) Redistribution
Sharing the output “more broadly” is the step that makes it hard to defend as mere curiosity. It creates a new distribution channel for sensitive information and makes the authors accountable for downstream misuse.
What companies can do: reduce leakage, increase trust, and tighten controls
There’s a misconception that the solution is “lock everything down.” In practice you need three complementary moves: governance, technical controls, and communication.
1) Treat offboarding events as sensitive and design for privacy
Offboarding inevitably changes systems, but you can reduce the informational exhaust:
Minimize public-facing directory changes until communications occur.
Avoid mass user removals that are easy to diff.
Consider delaying certain non-security-critical updates by hours so they don’t act as a real-time layoff feed.
The goal isn’t to hide reality forever. It’s to avoid turning a painful event into a scavenger hunt.
2) Add purpose-based access controls and logging
If internal APIs can reveal employee status changes at scale, then:
Access should be scoped to roles that need it.
Bulk export should require justification.
Queries should be logged with identity and intent.
Automated polling should stand out.
This is where the “audit and accountability” mindset matters: if a script is enumerating users and emitting alerts, it should trigger detection.
3) Have a humane comms plan for layoffs
The biggest driver of shadow tracking is uncertainty.
Companies can reduce the impulse to scrape internal tools by being explicit:
When will impacted employees be told?
When will teams be informed?
What can be shared, and when?
Where should people go for verified updates?
If leadership provides timely, specific information, the “need” for DIY lists drops.
4) Give employees a sanctioned way to check on collaborators
This is subtle but important. People are not only curious — they’re trying to coordinate work and check on friends.
A simple, sanctioned directory status message (“this account is no longer active”) without timestamps, location, or lists could satisfy basic needs without enabling mass reconstruction.
A wider trend: layoffs as an information-security stress test
Layoffs reveal weak points in governance because they create:
a burst of sensitive events,
a high emotional temperature,
and a lot of access churn.
That’s exactly when you see edge cases: employees scraping systems, managers improvising, and tools being used in ways nobody designed for.
Sites like Layoffs.fyi exist because people want an independent signal about the scale of cuts in the industry. Inside a company, that same need exists — except the signals are more direct and the stakes are personal.
Bottom line
Pinterest firing engineers for scripting layoff tracking isn’t just “don’t be nosy.” It’s a warning that internal observability can become internal surveillance the moment organizational trust drops.
If your tooling makes it easy to turn identity churn into a list of terminated coworkers, people will do it — especially during layoffs. The fix isn’t only punishing the people who wrote the script; it’s building systems and communication practices that don’t turn offboarding into a data leak, and that treat employment status as the sensitive information it is.
Sources
https://www.bbc.com/news/articles/cn0k670n0ydo
https://layoffs.fyi/
https://www.nist.gov/privacy-framework
https://csrc.nist.gov/pubs/sp/800/53/r5/final
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
a Dansk