Pinterest ha licenziato gli ingegneri che monitoravano i licenziamenti su Slack: cosa dice su privacy, fiducia e telemetria interna

/Generale/ Di

Pinterest avrebbe licenziato due ingegneri dopo aver scritto degli script per identificare quali colleghi sarebbero stati rimossi dagli strumenti interni durante un licenziamento, per poi condividere l'elenco con altri. In apparenza, si tratta di una storia di dramma sul posto di lavoro. In realtà, è un caso di studio insolitamente chiaro su come funzionano effettivamente le aziende moderne: sistemi di identità come fonte di verità, piattaforme di chat come organigrammi di fatto e "dati interni" tecnicamente accessibili molto prima di essere socialmente accettabili.

L'incidente ha un'importanza che va oltre Pinterest, perché gli stessi ingredienti sono presenti in quasi tutte le aziende tecnologiche: identità centralizzata, Slack o Teams, sistemi HR e una lunga serie di dashboard e API interne. Quando i tempi sono calmi, nessuno si sofferma troppo sul confine tra osservabilità e sorveglianza. Quando si verificano licenziamenti, quel confine si illumina.

In questa spiegazione, analizzeremo cosa è probabilmente successo, perché è allettante effettuare questo tipo di monitoraggio, dove supera i confini etici e politici e cosa possono fare le organizzazioni per ridurre sia i danni alla privacy sia la necessità di raccogliere informazioni nascoste.

Cosa è successo (e cosa probabilmente significa qui "una sceneggiatura")

Secondo la BBC, Pinterest ha affermato che "due ingegneri hanno creato script personalizzati accedendo in modo improprio a informazioni aziendali riservate per identificare le posizioni e i nomi di tutti i dipendenti licenziati e poi le hanno condivise con un pubblico più ampio", definendo l'accaduto una violazione delle policy e un problema di privacy per il personale interessato. Il rapporto descrive anche il meccanismo come un sistema di controllo dei nomi dei dipendenti rimossi o disattivati ​​all'interno di uno strumento di comunicazione interna "come Slack".

In molte aziende, Slack (o simili) è direttamente collegato al provider di identità (Okta, Azure AD, Google Workspace, ecc.). Quando un account viene disabilitato, si verifica una serie di conseguenze: i token di accesso scadono, i gruppi cambiano e l'utente non compare più in determinate ricerche di directory, canali e integrazioni. Se si dispone di accesso API (anche in sola lettura), è spesso possibile dedurre chi è stato disabilitato semplicemente rilevando i cambiamenti di stato:

  • Un utente scompare dall'elenco degli "utenti attivi".
  • Il profilo di un utente viene disattivato.
  • Un bot non può più inviarli tramite DM.
  • La loro appartenenza cambia a seconda dei canali o dei gruppi di utenti.

Uno "script" in questo contesto non deve essere necessariamente sofisticato. Potrebbe essere costituito da poche decine di righe di codice che interrogano un'API, confrontano l'elenco utenti di ieri con quello di oggi ed emettono un avviso. Da un punto di vista puramente tecnico, si tratta dello stesso schema che gli ingegneri usano per le attività operative legittime: confrontare due snapshot per rilevare eventuali modifiche.

La differenza sta nel cosa viene rilevato (persone), nel perché viene rilevato (licenziamenti) e nella destinazione dei risultati (condivisi in modo ampio).

Perché i dipendenti fanno questo durante i licenziamenti

C'è una scomoda verità sui licenziamenti: di solito le persone apprendono la portata dell'evento attraverso canali secondari prima che la dirigenza chiarisca qualcosa. A volte questo accade perché la dirigenza non può ancora condividere i dettagli. A volte perché "stiamo ancora lavorando sui dettagli" è un eufemismo per "non vogliamo dirlo".

Quindi i dipendenti cercano qualsiasi segnale disponibile:

  • Gli amici improvvisamente tacciono.
  • Gli inviti del calendario scompaiono.
  • L'accesso ai repository è revocato.
  • Lo stato di Slack cambia o la persona scompare dalla directory.

Monitorare questi segnali può sembrare un atto di autodifesa. Le persone vogliono sapere:

  • Il mio team è interessato?
  • Il mio manager è stato licenziato?
  • I miei collaboratori più stretti sono ancora qui?
  • L'azienda sta bene o si tratta di una ristrutturazione più ampia?

Questa motivazione è umana e prevedibile. Ma un comportamento prevedibile può comunque rivelarsi dannoso.

Il problema della privacy: lo stato di licenziamento è un'informazione sensibile

Un evento di licenziamento non è solo una "banalità lavorativa". Si tratta di informazioni personali sensibili sullo stato occupazionale di una persona, spesso legate a benefit, immigrazione, assicurazione sanitaria e prospettive di lavoro future.

Anche se un'azienda ha intenzione di annunciare pubblicamente una riduzione del personale, l'identità dei singoli dipendenti e la loro sede sono solitamente destinate a essere divulgate solo se strettamente necessario:

  • Sono necessari dettagli per le risorse umane e la gestione delle paghe.
  • L'IT deve eseguire l'offboarding.
  • Esigenze legali per garantire la conformità.
  • I manager devono comunicare direttamente con i loro team.

La condivisione interna su larga scala di un elenco di dipendenti licenziati è diversa. Può:

  • Togliere alla persona interessata la capacità di controllare la narrazione.
  • Rendere pubblica la posizione di qualcuno o l'affiliazione a un team.
  • Incoraggiare pettegolezzi e speculazioni ("era una performance?" "era una questione politica?").
  • Aumenta il rischio di molestie mirate o di doxxing all'esterno dell'azienda.

La posizione di Pinterest, secondo cui avrebbe violato la privacy degli ex colleghi, non è solo una questione di pubbliche relazioni. È una vera e propria categoria di danno.

Il problema di sicurezza: il controllo degli accessi non è la stessa cosa dell'autorizzazione

Molti sistemi interni funzionano con permessi grossolani: se sei un ingegnere, potresti essere in grado di interrogare una directory o utilizzare un'API interna. Ciò non significa che tu sia autorizzato a utilizzarla per qualsiasi scopo.

È qui che molte organizzazioni incontrano difficoltà. Costruiscono strumenti interni che sono:

  • Facile da usare,
  • Potente,
  • Mal governato.

E poi si affidano alla politica ("non farlo") come principale barriera di sicurezza. Quando la pressione è alta, le barriere basate solo sulla politica falliscono.

Il NIST SP 800-53 è uno dei cataloghi standard che le organizzazioni utilizzano per concepire famiglie di controllo come il controllo degli accessi e l'audit. Anche senza perdersi in ID di controllo, l'idea di base si applica perfettamente anche in questo caso: l'accesso ai dati deve essere limitato, monitorato e attribuibile a legittimi scopi aziendali, soprattutto per le categorie di informazioni sensibili.

In altre parole: "tecnicamente puoi leggere questo" non dovrebbe mai essere interpretato come "va bene che tu legga questo".

Il problema culturale: Slack è diventato l'organigramma

La maggior parte delle aziende oggi si trova a dover affrontare due realtà parallele:

  1. La realtà formale: sistemi di risorse umane, linee di riporto, annunci ufficiali.
  2. La realtà vissuta: canali Slack, messaggi diretti di gruppo, menzioni su GitHub, turni di reperibilità.

Quando qualcosa cambia nel sistema formale (come l'offboarding), si producono immediatamente artefatti visibili nel sistema reale. I dipendenti interpretano questi artefatti come verità, a volte con più convinzione di quanto si fidino delle comunicazioni dei dirigenti.

Questa discrepanza crea un incentivo perverso:

  • Se la leadership non ti dice cosa sta succedendo,
  • lo ricostruirai da qualsiasi perdita di telemetria.

Questo incidente ci ricorda che la "trasparenza interna" non è solo una strategia di comunicazione, ma anche una strategia di sicurezza informatica. Se le persone sentono di dover ricostruire la realtà partendo dalle fughe di notizie, lo faranno.

Dove gli ingegneri hanno oltrepassato il limite

Anche se si comprende il motivo per cui qualcuno potrebbe scrivere una sceneggiatura del genere, ci sono almeno tre linee chiare che vengono oltrepassate:

1) Limitazione dello scopo

Se la fonte dei dati è costituita da "informazioni aziendali riservate", ci si aspetta che vengano utilizzate per una funzione aziendale legittima e non per la ricognizione sui licenziamenti.

Il Privacy Framework del NIST enfatizza la gestione del rischio per la privacy e l'adozione di pratiche che proteggano gli individui. Una traduzione pratica è "raccogliere e utilizzare i dati per scopi specifici e legittimi ed evitare usi secondari che creino nuovi danni".

Uno script per identificare i colleghi licenziati è quasi per definizione un utilizzo secondario: i segnali di offboarding esistono per proteggere i sistemi ed eseguire i processi delle risorse umane, non per generare un elenco interno di licenziamenti.

2) Amplificazione

Le persone notano le sparizioni su Slack in modo naturale: si tratta di una perdita di informazioni ambientali.

Uno script trasforma le perdite ambientali in un set di dati strutturato (nomi, posizioni, probabili team, ora di conclusione). Questa è amplificazione: il potenziale di danno aumenta drasticamente quando i segnali vaghi diventano un elenco pulito.

3) Ridistribuzione

Condividere i risultati "più ampiamente" è il passaggio che rende difficile difenderli come mera curiosità. Crea un nuovo canale di distribuzione per informazioni sensibili e rende gli autori responsabili di eventuali abusi a valle.

Cosa possono fare le aziende: ridurre le perdite, aumentare la fiducia e rafforzare i controlli

C'è l'idea sbagliata che la soluzione sia "bloccare tutto". In pratica, occorrono tre mosse complementari: governance, controlli tecnici e comunicazione.

1) Trattare gli eventi di offboarding come sensibili e progettare per la privacy

L'offboarding inevitabilmente modifica i sistemi, ma è possibile ridurre lo spreco di informazioni:

  • Ridurre al minimo le modifiche alla directory pubblica finché non si verificano comunicazioni.
  • Evita le rimozioni di massa degli utenti, che sono facili da distinguere.
  • Si consiglia di posticipare di alcune ore determinati aggiornamenti non critici per la sicurezza, in modo che non fungano da feed di licenziamento in tempo reale.

L'obiettivo non è nascondere la realtà per sempre. È evitare di trasformare un evento doloroso in una caccia al tesoro.

2) Aggiungere controlli di accesso e registrazione basati sullo scopo

Se le API interne possono rivelare su larga scala i cambiamenti di stato dei dipendenti, allora:

  • L'accesso dovrebbe essere limitato ai ruoli che ne hanno bisogno.
  • L'esportazione in blocco dovrebbe richiedere una giustificazione.
  • Le query devono essere registrate con identità e intento.
  • Dovrebbero distinguersi i sondaggi automatizzati.

È qui che entra in gioco la mentalità di "controllo e responsabilità": se uno script enumera gli utenti ed emette avvisi, dovrebbe attivare il rilevamento.

3) Avere un piano di comunicazione umano per i licenziamenti

Il principale fattore che determina il tracciamento delle ombre è l'incertezza.

Le aziende possono ridurre l'impulso a eliminare gli strumenti interni essendo esplicite:

  • Quando verranno informati i dipendenti interessati?
  • Quando verranno informate le squadre?
  • Cosa può essere condiviso e quando?
  • Dove si possono trovare gli aggiornamenti verificati?

Se la dirigenza fornisce informazioni tempestive e specifiche, la “necessità” di elenchi fai da te diminuisce.

4) Offrire ai dipendenti un modo autorizzato per controllare i collaboratori

È un dettaglio sottile ma importante. Le persone non sono solo curiose: cercano anche di coordinare il lavoro e di stare in contatto con gli amici.

Un semplice messaggio di stato della directory autorizzato ("questo account non è più attivo") senza timestamp, posizione o elenchi potrebbe soddisfare esigenze di base senza consentire una ricostruzione di massa.

Una tendenza più ampia: i licenziamenti come stress test per la sicurezza informatica

I licenziamenti rivelano i punti deboli della governance perché creano:

  • una raffica di eventi sensibili,
  • una temperatura emotiva elevata,
  • e un elevato tasso di abbandono degli accessi.

Ed è proprio in questi casi che si verificano casi limite: dipendenti che utilizzano i sistemi, manager che improvvisano e strumenti utilizzati in modi per cui nessuno li ha progettati.

Siti come Layoffs.fyi esistono perché le persone vogliono un segnale indipendente sull'entità dei tagli nel settore. All'interno di un'azienda, esiste la stessa esigenza, solo che i segnali sono più diretti e la posta in gioco è personale.

In conclusione

Il licenziamento degli ingegneri da parte di Pinterest per aver creato uno script per il monitoraggio dei licenziamenti non è solo un "non essere ficcanaso". È un avvertimento: l'osservabilità interna può trasformarsi in sorveglianza interna nel momento in cui la fiducia nell'organizzazione cala.

Se i tuoi strumenti facilitano la trasformazione del ricambio di identità in una lista di colleghi licenziati, la gente lo farà, soprattutto durante i licenziamenti. La soluzione non è solo punire chi ha scritto la sceneggiatura; è costruire sistemi e pratiche di comunicazione che non trasformino l'offboarding in una fuga di dati e che trattino lo stato occupazionale come un'informazione sensibile.

Fonti

Document Title
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Page Content
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Nature
Climate
/
General
/ By
Admin
Pinterest reportedly fired two engineers after they wrote scripts to identify which coworkers were being removed from internal tools during a layoff — and then shared that list more broadly. On the surface, this is a workplace drama story. Underneath, it’s an unusually clear case study in how modern companies actually run: identity systems as the source of truth, chat platforms as de facto org charts, and “internal data” that is technically accessible long before it is socially acceptable.
The incident matters beyond Pinterest because the same ingredients exist in almost every tech company: centralized identity, Slack or Teams, HR systems, and a long tail of internal dashboards and APIs. When times are calm, nobody thinks too hard about the line between observability and surveillance. When layoffs happen, that line lights up.
In this explainer, we’ll look at what likely happened, why it’s tempting to do this kind of tracking, where it crosses ethical and policy boundaries, and what organizations can do to reduce both privacy harm and the urge for shadow information-gathering.
What happened (and what “a script” probably means here)
According to the BBC, Pinterest said “two engineers wrote custom scripts improperly accessing confidential company information to identify the locations and names of all dismissed employees and then shared it more broadly,” calling it a policy violation and a privacy issue for affected staff. The reporting also describes the mechanism as watching for employee names being removed or deactivated inside an internal communication tool “like Slack.”
In many companies, Slack (or similar) is tied directly to the identity provider (Okta, Azure AD, Google Workspace, etc.). When an account is disabled, a cascade follows: access tokens expire, groups change, and the user stops appearing in certain directory searches, channels, and integrations. If you have API access (even read-only), you can often infer who was terminated simply by detecting state changes:
A user disappears from the “active users” list.
A user’s profile becomes deactivated.
A bot can no longer DM them.
Their membership changes across channels or user groups.
A “script” in this context doesn’t have to be sophisticated. It could be a few dozen lines of code polling an API, comparing yesterday’s user list to today’s, and emitting an alert. From a purely technical perspective, it’s the same pattern engineers use for legitimate operational tasks: diffing two snapshots to detect change.
The difference is what is being detected (people), why it’s being detected (layoffs), and where the results go (shared broadly).
Why employees do this during layoffs
There’s an uncomfortable truth about layoffs: people usually learn the shape of the event through side channels before leadership clarifies anything. Sometimes that’s because leadership can’t share details yet. Sometimes it’s because “we’re still working through the details” is a euphemism for “we don’t want to say.”
So employees reach for whatever signals exist:
Friends suddenly go silent.
Calendar invites vanish.
Access to repos is revoked.
Slack status flips, or the person disappears from the directory.
Tracking those signals can feel like self-defense. People want to know:
Is my team impacted?
Did my manager get cut?
Are my closest collaborators still here?
Is the company okay, or is this a larger restructuring?
That motivation is human and predictable. But predictable behavior can still be harmful behavior.
The privacy problem: layoff status is sensitive information
A termination event is not just “work trivia.” It’s sensitive personal information about someone’s employment status, often tied to benefits, immigration, health insurance, and future job prospects.
Even if a company plans to announce a headcount reduction publicly, the identity of the individuals and their locations is typically meant to be disclosed on a need-to-know basis:
HR and payroll need details.
IT needs to execute offboarding.
Legal needs to ensure compliance.
Managers need to communicate directly with their teams.
Broad internal sharing of a list of terminated employees is different. It can:
Remove the affected person’s ability to control the narrative.
Expose someone’s location or team affiliation.
Encourage gossip and speculation (“was it performance?” “was it political?”).
Increase the risk of targeted harassment or doxxing outside the company.
Pinterest’s framing — that it violated former colleagues’ privacy — is not just PR. It’s a real category of harm.
The security problem: access control isn’t the same as authorization
Many internal systems work on coarse permissions: if you’re an engineer, you might be able to query a directory or use an internal API. That doesn’t mean you’re authorized to use it for every purpose.
This is where a lot of organizations struggle. They build internal tools that are:
Easy to use,
Powerful,
Poorly governed.
And then they rely on policy (“don’t do that”) as the primary guardrail. When the pressure is high, policy-only guardrails fail.
NIST SP 800-53 is one of the standard catalogs organizations use to think about control families like access control and auditing. Even without getting lost in control IDs, the basic idea applies cleanly here: data access should be constrained, monitored, and attributable to legitimate business purposes — especially for sensitive categories of information.
In other words: “you can technically read this” should never be treated as “it’s fine for you to read this.”
The cultural problem: Slack has become the org chart
Most companies now have two parallel realities:
The formal reality: HR systems, reporting lines, official announcements.
The lived reality: Slack channels, group DMs, GitHub mentions, on-call rotations.
When something changes in the formal system (like offboarding), it immediately produces visible artifacts in the lived system. Employees interpret those artifacts as truth — sometimes more strongly than they trust leadership communications.
That mismatch creates a perverse incentive:
If leadership won’t tell you what’s happening,
you will reconstruct it from whatever telemetry leaks.
This incident is a reminder that “internal transparency” is not just a comms strategy — it’s also an information-security strategy. If people feel they must piece together reality from leaks, they will.
Where the engineers crossed the line
Even if you empathize with why someone might build such a script, there are at least three bright lines that get crossed:
1) Purpose limitation
If the data source is “confidential company information,” the expectation is that it’s used for a legitimate business function, not for layoff reconnaissance.
NIST’s Privacy Framework emphasizes managing privacy risk and using practices that protect individuals. A practical translation is “collect and use data for specific, legitimate purposes, and avoid secondary uses that create new harms.”
A script to identify terminated colleagues is almost definitionally a secondary use: the offboarding signals exist to protect systems and execute HR processes, not to generate an internal layoff list.
2) Amplification
People notice disappearances in Slack organically — that’s ambient information leakage.
A script turns ambient leakage into a structured dataset (names, locations, likely teams, time of termination). That is amplification: the harm potential rises sharply when vague signals become a clean list.
3) Redistribution
Sharing the output “more broadly” is the step that makes it hard to defend as mere curiosity. It creates a new distribution channel for sensitive information and makes the authors accountable for downstream misuse.
What companies can do: reduce leakage, increase trust, and tighten controls
There’s a misconception that the solution is “lock everything down.” In practice you need three complementary moves: governance, technical controls, and communication.
1) Treat offboarding events as sensitive and design for privacy
Offboarding inevitably changes systems, but you can reduce the informational exhaust:
Minimize public-facing directory changes until communications occur.
Avoid mass user removals that are easy to diff.
Consider delaying certain non-security-critical updates by hours so they don’t act as a real-time layoff feed.
The goal isn’t to hide reality forever. It’s to avoid turning a painful event into a scavenger hunt.
2) Add purpose-based access controls and logging
If internal APIs can reveal employee status changes at scale, then:
Access should be scoped to roles that need it.
Bulk export should require justification.
Queries should be logged with identity and intent.
Automated polling should stand out.
This is where the “audit and accountability” mindset matters: if a script is enumerating users and emitting alerts, it should trigger detection.
3) Have a humane comms plan for layoffs
The biggest driver of shadow tracking is uncertainty.
Companies can reduce the impulse to scrape internal tools by being explicit:
When will impacted employees be told?
When will teams be informed?
What can be shared, and when?
Where should people go for verified updates?
If leadership provides timely, specific information, the “need” for DIY lists drops.
4) Give employees a sanctioned way to check on collaborators
This is subtle but important. People are not only curious — they’re trying to coordinate work and check on friends.
A simple, sanctioned directory status message (“this account is no longer active”) without timestamps, location, or lists could satisfy basic needs without enabling mass reconstruction.
A wider trend: layoffs as an information-security stress test
Layoffs reveal weak points in governance because they create:
a burst of sensitive events,
a high emotional temperature,
and a lot of access churn.
That’s exactly when you see edge cases: employees scraping systems, managers improvising, and tools being used in ways nobody designed for.
Sites like Layoffs.fyi exist because people want an independent signal about the scale of cuts in the industry. Inside a company, that same need exists — except the signals are more direct and the stakes are personal.
Bottom line
Pinterest firing engineers for scripting layoff tracking isn’t just “don’t be nosy.” It’s a warning that internal observability can become internal surveillance the moment organizational trust drops.
If your tooling makes it easy to turn identity churn into a list of terminated coworkers, people will do it — especially during layoffs. The fix isn’t only punishing the people who wrote the script; it’s building systems and communication practices that don’t turn offboarding into a data leak, and that treat employment status as the sensitive information it is.
Sources
https://www.bbc.com/news/articles/cn0k670n0ydo
https://layoffs.fyi/
https://www.nist.gov/privacy-framework
https://csrc.nist.gov/pubs/sp/800/53/r5/final
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
t Italiano