Pinterest a licencié des ingénieurs qui suivaient les licenciements dans Slack — qu'est-ce que cela révèle sur la confidentialité, la confiance et la télémétrie interne ?

/Général/ Par

Pinterest aurait licencié deux ingénieurs après qu'ils eurent créé des scripts permettant d'identifier les collègues exclus des outils internes lors d'une restructuration, puis diffusé cette liste. À première vue, il s'agit d'un simple drame interne. Mais en réalité, c'est une étude de cas particulièrement révélatrice du fonctionnement des entreprises modernes : les systèmes d'identité érigés en source de vérité, les plateformes de messagerie servant d'organigrammes de facto, et les « données internes » techniquement accessibles bien avant d'être socialement acceptables.

Cet incident dépasse le cadre de Pinterest car on retrouve les mêmes ingrédients dans presque toutes les entreprises technologiques : identité centralisée, Slack ou Teams, systèmes RH et une multitude de tableaux de bord internes et d’API. En temps normal, on ne s’interroge guère sur la frontière entre observabilité et surveillance. Mais en cas de licenciements, cette frontière devient de plus en plus évidente.

Dans cet article explicatif, nous examinerons ce qui s'est probablement passé, pourquoi il est tentant de procéder à ce type de suivi, où cela franchit les limites éthiques et politiques, et ce que les organisations peuvent faire pour réduire à la fois les atteintes à la vie privée et la tentation de collecter des informations clandestinement.

Que s'est-il passé (et que signifie probablement « un script » ici) ?

Selon la BBC, Pinterest a déclaré que « deux ingénieurs ont créé des scripts personnalisés accédant indûment à des informations confidentielles de l'entreprise afin d'identifier les lieux de travail et les noms de tous les employés licenciés, puis ont diffusé ces informations à plus grande échelle », qualifiant cela de violation du règlement intérieur et d'atteinte à la vie privée du personnel concerné. Le reportage décrit également le mécanisme utilisé pour surveiller la suppression ou la désactivation des noms d'employés dans un outil de communication interne « tel que Slack ».

Dans de nombreuses entreprises, Slack (ou un service similaire) est directement lié au fournisseur d'identité (Okta, Azure AD, Google Workspace, etc.). Lorsqu'un compte est désactivé, plusieurs conséquences s'ensuivent : les jetons d'accès expirent, les groupes changent et l'utilisateur disparaît de certains annuaires, canaux et intégrations. Si vous disposez d'un accès API (même en lecture seule), vous pouvez souvent identifier l'utilisateur dont le compte a été désactivé en détectant simplement les changements d'état.

  • Un utilisateur disparaît de la liste des « utilisateurs actifs ».
  • Le profil d'un utilisateur est désactivé.
  • Un bot ne peut plus leur envoyer de messages privés.
  • Leur appartenance varie selon les canaux ou les groupes d'utilisateurs.

Dans ce contexte, un « script » n'a pas besoin d'être complexe. Il peut s'agir de quelques dizaines de lignes de code interrogeant une API, comparant la liste des utilisateurs d'hier à celle d'aujourd'hui et déclenchant une alerte. D'un point de vue purement technique, c'est le même schéma que celui utilisé par les ingénieurs pour des tâches opérationnelles légitimes : comparer deux instantanés pour détecter les changements.

La différence réside dans ce qui est détecté (les personnes), pourquoi c'est détecté (les licenciements) et où vont les résultats (partagés à grande échelle).

Pourquoi les employés agissent-ils ainsi lors des licenciements ?

Il y a une vérité dérangeante concernant les licenciements : on apprend généralement les grandes lignes de la situation par des voies détournées avant même que la direction ne communique officiellement. Parfois, c’est parce que la direction ne peut pas encore partager de détails. Parfois, c’est parce que « nous sommes encore en train de régler les détails » est un euphémisme pour « nous préférons ne rien dire ».

Les employés s'appuient donc sur tous les signaux existants :

  • Les amis se taisent soudainement.
  • Les invitations du calendrier disparaissent.
  • L'accès aux dépôts est révoqué.
  • Le statut Slack change ou la personne disparaît de l'annuaire.

Suivre ces signaux peut s'apparenter à de l'autodéfense. Les gens veulent savoir :

  • Mon équipe est-elle concernée ?
  • Mon responsable a-t-il été licencié ?
  • Mes plus proches collaborateurs sont-ils toujours là ?
  • L'entreprise se porte-t-elle bien, ou s'agit-il d'une restructuration plus importante ?

Cette motivation est humaine et prévisible. Mais un comportement prévisible peut néanmoins être nuisible.

Le problème de confidentialité : le statut de licenciement est une information sensible.

Un événement lié à la cessation d'emploi ne se résume pas à de simples « détails insignifiants concernant le travail ». Il s'agit d'informations personnelles sensibles concernant le statut d'emploi d'une personne, souvent liées aux avantages sociaux, à l'immigration, à l'assurance maladie et aux perspectives d'emploi futures.

Même si une entreprise prévoit d'annoncer publiquement une réduction de ses effectifs, l'identité des personnes concernées et leur lieu de travail ne sont généralement divulgués qu'aux personnes qui ont besoin d'en connaître :

  • Le service des ressources humaines et de la paie a besoin de détails.
  • Le service informatique doit procéder au départ des employés.
  • Les obligations légales garantissent la conformité.
  • Les managers doivent communiquer directement avec leurs équipes.

Le partage interne à grande échelle d'une liste d'employés licenciés est différent. Il peut :

  • Supprimer la capacité de la personne concernée à contrôler le récit.
  • Révéler la localisation ou l'appartenance à une équipe d'une personne.
  • Encouragez les ragots et les spéculations (« était-ce une question de performance ? » « était-ce politique ? »).
  • Augmenter le risque de harcèlement ciblé ou de divulgation d'informations personnelles en dehors de l'entreprise.

La façon dont Pinterest présente les choses — en affirmant avoir violé la vie privée d'anciens collègues — n'est pas qu'une simple opération de relations publiques. Il s'agit d'un préjudice bien réel.

Problème de sécurité : le contrôle d’accès est différent de l’autorisation.

De nombreux systèmes internes fonctionnent avec des permissions générales : si vous êtes ingénieur, vous pouvez interroger un annuaire ou utiliser une API interne. Cela ne signifie pas pour autant que vous êtes autorisé à l’utiliser à toutes fins.

C’est là que beaucoup d’organisations rencontrent des difficultés. Elles développent des outils internes qui sont :

  • Facile à utiliser,
  • Puissant,
  • Mal gouverné.

Ils s'appuient alors sur les politiques publiques (« ne faites pas ça ») comme principal garde-fou. Or, sous forte pression, ces garde-fous, fondés uniquement sur les politiques publiques, s'avèrent inefficaces.

La publication spéciale 800-53 du NIST est l'un des catalogues de référence utilisés par les organisations pour définir des familles de contrôles comme le contrôle d'accès et l'audit. Sans même s'attarder sur les identifiants de contrôle, l'idée de base s'applique parfaitement : l'accès aux données doit être restreint, surveillé et justifié par des finalités professionnelles légitimes, notamment pour les informations sensibles.

En d'autres termes : « techniquement, vous pouvez lire ceci » ne doit jamais être interprété comme « vous pouvez lire ceci sans problème ».

Le problème culturel : Slack est devenu l’organigramme

La plupart des entreprises vivent aujourd'hui dans deux réalités parallèles :

  1. La réalité formelle : systèmes RH, lignes hiérarchiques, annonces officielles.
  2. La réalité vécue : canaux Slack, messages privés de groupe, mentions GitHub, rotations d’astreinte.

Lorsqu'un changement survient dans le système formel (comme un départ d'employé), il produit immédiatement des manifestations visibles dans le système opérationnel. Les employés interprètent ces manifestations comme étant la vérité, parfois même plus fermement qu'ils ne font confiance aux communications de la direction.

Ce décalage crée une incitation perverse :

  • Si les dirigeants ne vous disent pas ce qui se passe,
  • Vous devrez le reconstituer à partir des fuites de données télémétriques.

Cet incident nous rappelle que la « transparence interne » n'est pas qu'une simple stratégie de communication ; c'est aussi une stratégie de sécurité de l'information. Si les gens ont le sentiment de devoir reconstituer la réalité à partir des fuites, ils le feront.

Là où les ingénieurs ont franchi la ligne

Même si l'on comprend pourquoi quelqu'un pourrait créer un tel script, il y a au moins trois limites claires qui sont franchies :

1) Limitation de l'objet

Si la source des données est constituée d’« informations confidentielles de l’entreprise », on s’attend à ce qu’elles soient utilisées pour une fonction commerciale légitime, et non à des fins de recherche en vue de licenciements.

Le cadre de protection de la vie privée du NIST met l'accent sur la gestion des risques liés à la protection de la vie privée et sur l'adoption de pratiques qui protègent les individus. Concrètement, cela signifie : « collecter et utiliser les données à des fins spécifiques et légitimes, et éviter toute utilisation secondaire susceptible d'engendrer de nouveaux préjudices ».

Un script permettant d'identifier les collègues licenciés est, par définition, une utilisation secondaire : les signaux de départ servent à protéger les systèmes et à exécuter les processus RH, et non à générer une liste interne de licenciements.

2) Amplification

Les gens remarquent les disparitions dans Slack de manière naturelle — c'est une fuite d'informations ambiante.

Un script transforme les fuites d'informations ambiantes en un ensemble de données structurées (noms, lieux, équipes probables, heure de la fin). C'est ce qu'on appelle l'amplification : le potentiel de nuisance augmente considérablement lorsque des signaux vagues deviennent une liste précise.

3) Redistribution

Le partage plus large des résultats rend difficile leur justification par la simple curiosité. Il crée un nouveau canal de diffusion pour des informations sensibles et responsabilise les auteurs en cas d'utilisation abusive ultérieure.

Ce que les entreprises peuvent faire : réduire les fuites, accroître la confiance et renforcer les contrôles.

On croit à tort que la solution consiste à « tout verrouiller ». En pratique, trois mesures complémentaires sont nécessaires : la gouvernance, les contrôles techniques et la communication.

1) Traitez les événements de départ comme des moments sensibles et concevez-les dans le respect de la vie privée.

Le départ des employés modifie inévitablement les systèmes, mais vous pouvez réduire la quantité d'informations rejetées :

  • Limitez au maximum les modifications apportées à l'annuaire public jusqu'à ce que les communications aient lieu.
  • Évitez les suppressions massives d'utilisateurs faciles à différencier.
  • Envisagez de retarder de plusieurs heures certaines mises à jour non critiques pour la sécurité afin qu'elles ne servent pas de fil d'actualité en temps réel concernant les licenciements.

Le but n'est pas de dissimuler la réalité indéfiniment, mais d'éviter de transformer un événement douloureux en une chasse au trésor.

2) Ajouter des contrôles d'accès et une journalisation basés sur la finalité

Si les API internes peuvent révéler à grande échelle les changements de statut des employés, alors :

  • L'accès devrait être limité aux rôles qui en ont besoin.
  • L'exportation en vrac devrait être justifiée.
  • Les requêtes doivent être enregistrées avec l'identité et l'intention.
  • Les sondages automatisés doivent se démarquer.

C’est là que la mentalité « audit et responsabilité » prend toute son importance : si un script énumère les utilisateurs et émet des alertes, il doit déclencher une détection.

3) Élaborez un plan de communication humain en cas de licenciements.

Le principal facteur du suivi des ombres est l'incertitude.

Les entreprises peuvent réduire la tentation de piller leurs outils internes en étant explicites :

  • Quand les employés concernés seront-ils informés ?
  • Quand les équipes seront-elles informées ?
  • Que peut-on partager, et quand ?
  • Où les gens peuvent-ils trouver des informations vérifiées ?

Si les dirigeants fournissent des informations précises et opportunes, le « besoin » de listes à faire soi-même diminue.

4) Donnez aux employés un moyen officiel de contrôler leurs collaborateurs.

C'est subtil, mais important. Les gens ne sont pas seulement curieux ; ils essaient de coordonner leur travail et de prendre des nouvelles de leurs amis.

Un simple message d'état d'annuaire autorisé (« ce compte n'est plus actif ») sans horodatage, localisation ni liste pourrait satisfaire les besoins de base sans permettre une reconstruction massive.

Une tendance plus générale : les licenciements comme test de résistance à la sécurité de l’information

Les licenciements révèlent les faiblesses de la gouvernance car ils engendrent :

  • une avalanche d'événements délicats,
  • une température émotionnelle élevée,
  • et une forte instabilité des accès.

C’est précisément dans ce genre de situation que l’on observe des cas limites : des employés qui extraient des données des systèmes, des gestionnaires qui improvisent et des outils utilisés de manière non prévue.

Des sites comme Layoffs.fyi existent car les gens recherchent une information indépendante sur l'ampleur des réductions d'effectifs dans le secteur. Au sein même d'une entreprise, ce besoin est présent, mais les signaux sont plus directs et les enjeux plus personnels.

En résumé

Le licenciement par Pinterest d'ingénieurs ayant développé un système de suivi des licenciements n'est pas simplement un avertissement : « ne soyez pas curieux ». C'est un signal d'alarme : l'observabilité interne peut se transformer en surveillance interne dès que la confiance au sein de l'organisation s'érode.

Si vos outils permettent de transformer facilement les changements d'identité en une liste de collègues licenciés, certains le feront, surtout en période de licenciements. La solution ne consiste pas seulement à sanctionner les responsables ; il faut mettre en place des systèmes et des pratiques de communication qui empêchent les départs d'employés de se transformer en fuites de données et qui traitent le statut d'emploi comme l'information sensible qu'il est.

Sources

Document Title
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Page Content
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Nature
Climate
/
General
/ By
Admin
Pinterest reportedly fired two engineers after they wrote scripts to identify which coworkers were being removed from internal tools during a layoff — and then shared that list more broadly. On the surface, this is a workplace drama story. Underneath, it’s an unusually clear case study in how modern companies actually run: identity systems as the source of truth, chat platforms as de facto org charts, and “internal data” that is technically accessible long before it is socially acceptable.
The incident matters beyond Pinterest because the same ingredients exist in almost every tech company: centralized identity, Slack or Teams, HR systems, and a long tail of internal dashboards and APIs. When times are calm, nobody thinks too hard about the line between observability and surveillance. When layoffs happen, that line lights up.
In this explainer, we’ll look at what likely happened, why it’s tempting to do this kind of tracking, where it crosses ethical and policy boundaries, and what organizations can do to reduce both privacy harm and the urge for shadow information-gathering.
What happened (and what “a script” probably means here)
According to the BBC, Pinterest said “two engineers wrote custom scripts improperly accessing confidential company information to identify the locations and names of all dismissed employees and then shared it more broadly,” calling it a policy violation and a privacy issue for affected staff. The reporting also describes the mechanism as watching for employee names being removed or deactivated inside an internal communication tool “like Slack.”
In many companies, Slack (or similar) is tied directly to the identity provider (Okta, Azure AD, Google Workspace, etc.). When an account is disabled, a cascade follows: access tokens expire, groups change, and the user stops appearing in certain directory searches, channels, and integrations. If you have API access (even read-only), you can often infer who was terminated simply by detecting state changes:
A user disappears from the “active users” list.
A user’s profile becomes deactivated.
A bot can no longer DM them.
Their membership changes across channels or user groups.
A “script” in this context doesn’t have to be sophisticated. It could be a few dozen lines of code polling an API, comparing yesterday’s user list to today’s, and emitting an alert. From a purely technical perspective, it’s the same pattern engineers use for legitimate operational tasks: diffing two snapshots to detect change.
The difference is what is being detected (people), why it’s being detected (layoffs), and where the results go (shared broadly).
Why employees do this during layoffs
There’s an uncomfortable truth about layoffs: people usually learn the shape of the event through side channels before leadership clarifies anything. Sometimes that’s because leadership can’t share details yet. Sometimes it’s because “we’re still working through the details” is a euphemism for “we don’t want to say.”
So employees reach for whatever signals exist:
Friends suddenly go silent.
Calendar invites vanish.
Access to repos is revoked.
Slack status flips, or the person disappears from the directory.
Tracking those signals can feel like self-defense. People want to know:
Is my team impacted?
Did my manager get cut?
Are my closest collaborators still here?
Is the company okay, or is this a larger restructuring?
That motivation is human and predictable. But predictable behavior can still be harmful behavior.
The privacy problem: layoff status is sensitive information
A termination event is not just “work trivia.” It’s sensitive personal information about someone’s employment status, often tied to benefits, immigration, health insurance, and future job prospects.
Even if a company plans to announce a headcount reduction publicly, the identity of the individuals and their locations is typically meant to be disclosed on a need-to-know basis:
HR and payroll need details.
IT needs to execute offboarding.
Legal needs to ensure compliance.
Managers need to communicate directly with their teams.
Broad internal sharing of a list of terminated employees is different. It can:
Remove the affected person’s ability to control the narrative.
Expose someone’s location or team affiliation.
Encourage gossip and speculation (“was it performance?” “was it political?”).
Increase the risk of targeted harassment or doxxing outside the company.
Pinterest’s framing — that it violated former colleagues’ privacy — is not just PR. It’s a real category of harm.
The security problem: access control isn’t the same as authorization
Many internal systems work on coarse permissions: if you’re an engineer, you might be able to query a directory or use an internal API. That doesn’t mean you’re authorized to use it for every purpose.
This is where a lot of organizations struggle. They build internal tools that are:
Easy to use,
Powerful,
Poorly governed.
And then they rely on policy (“don’t do that”) as the primary guardrail. When the pressure is high, policy-only guardrails fail.
NIST SP 800-53 is one of the standard catalogs organizations use to think about control families like access control and auditing. Even without getting lost in control IDs, the basic idea applies cleanly here: data access should be constrained, monitored, and attributable to legitimate business purposes — especially for sensitive categories of information.
In other words: “you can technically read this” should never be treated as “it’s fine for you to read this.”
The cultural problem: Slack has become the org chart
Most companies now have two parallel realities:
The formal reality: HR systems, reporting lines, official announcements.
The lived reality: Slack channels, group DMs, GitHub mentions, on-call rotations.
When something changes in the formal system (like offboarding), it immediately produces visible artifacts in the lived system. Employees interpret those artifacts as truth — sometimes more strongly than they trust leadership communications.
That mismatch creates a perverse incentive:
If leadership won’t tell you what’s happening,
you will reconstruct it from whatever telemetry leaks.
This incident is a reminder that “internal transparency” is not just a comms strategy — it’s also an information-security strategy. If people feel they must piece together reality from leaks, they will.
Where the engineers crossed the line
Even if you empathize with why someone might build such a script, there are at least three bright lines that get crossed:
1) Purpose limitation
If the data source is “confidential company information,” the expectation is that it’s used for a legitimate business function, not for layoff reconnaissance.
NIST’s Privacy Framework emphasizes managing privacy risk and using practices that protect individuals. A practical translation is “collect and use data for specific, legitimate purposes, and avoid secondary uses that create new harms.”
A script to identify terminated colleagues is almost definitionally a secondary use: the offboarding signals exist to protect systems and execute HR processes, not to generate an internal layoff list.
2) Amplification
People notice disappearances in Slack organically — that’s ambient information leakage.
A script turns ambient leakage into a structured dataset (names, locations, likely teams, time of termination). That is amplification: the harm potential rises sharply when vague signals become a clean list.
3) Redistribution
Sharing the output “more broadly” is the step that makes it hard to defend as mere curiosity. It creates a new distribution channel for sensitive information and makes the authors accountable for downstream misuse.
What companies can do: reduce leakage, increase trust, and tighten controls
There’s a misconception that the solution is “lock everything down.” In practice you need three complementary moves: governance, technical controls, and communication.
1) Treat offboarding events as sensitive and design for privacy
Offboarding inevitably changes systems, but you can reduce the informational exhaust:
Minimize public-facing directory changes until communications occur.
Avoid mass user removals that are easy to diff.
Consider delaying certain non-security-critical updates by hours so they don’t act as a real-time layoff feed.
The goal isn’t to hide reality forever. It’s to avoid turning a painful event into a scavenger hunt.
2) Add purpose-based access controls and logging
If internal APIs can reveal employee status changes at scale, then:
Access should be scoped to roles that need it.
Bulk export should require justification.
Queries should be logged with identity and intent.
Automated polling should stand out.
This is where the “audit and accountability” mindset matters: if a script is enumerating users and emitting alerts, it should trigger detection.
3) Have a humane comms plan for layoffs
The biggest driver of shadow tracking is uncertainty.
Companies can reduce the impulse to scrape internal tools by being explicit:
When will impacted employees be told?
When will teams be informed?
What can be shared, and when?
Where should people go for verified updates?
If leadership provides timely, specific information, the “need” for DIY lists drops.
4) Give employees a sanctioned way to check on collaborators
This is subtle but important. People are not only curious — they’re trying to coordinate work and check on friends.
A simple, sanctioned directory status message (“this account is no longer active”) without timestamps, location, or lists could satisfy basic needs without enabling mass reconstruction.
A wider trend: layoffs as an information-security stress test
Layoffs reveal weak points in governance because they create:
a burst of sensitive events,
a high emotional temperature,
and a lot of access churn.
That’s exactly when you see edge cases: employees scraping systems, managers improvising, and tools being used in ways nobody designed for.
Sites like Layoffs.fyi exist because people want an independent signal about the scale of cuts in the industry. Inside a company, that same need exists — except the signals are more direct and the stakes are personal.
Bottom line
Pinterest firing engineers for scripting layoff tracking isn’t just “don’t be nosy.” It’s a warning that internal observability can become internal surveillance the moment organizational trust drops.
If your tooling makes it easy to turn identity churn into a list of terminated coworkers, people will do it — especially during layoffs. The fix isn’t only punishing the people who wrote the script; it’s building systems and communication practices that don’t turn offboarding into a data leak, and that treat employment status as the sensitive information it is.
Sources
https://www.bbc.com/news/articles/cn0k670n0ydo
https://layoffs.fyi/
https://www.nist.gov/privacy-framework
https://csrc.nist.gov/pubs/sp/800/53/r5/final
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
r Français