Pinterest heeft ingenieurs ontslagen die ontslagen bijhielden in Slack — wat zegt dit over privacy, vertrouwen en interne telemetrie?

/Algemeen/ Door

Pinterest zou twee engineers hebben ontslagen nadat ze scripts hadden geschreven om te achterhalen welke collega's tijdens een reorganisatie uit interne tools werden verwijderd – en die lijst vervolgens breder hadden gedeeld. Op het eerste gezicht is dit een verhaal over een kantoorruzie. In de kern is het echter een opvallend duidelijke casestudy over hoe moderne bedrijven daadwerkelijk functioneren: identiteitssystemen als de bron van waarheid, chatplatforms als de facto organigrammen en 'interne data' die technisch toegankelijk is lang voordat het maatschappelijk geaccepteerd is.

Het incident is niet alleen relevant voor Pinterest, omdat vrijwel elk techbedrijf dezelfde ingrediënten gebruikt: gecentraliseerde identiteitsbeheer, Slack of Teams, HR-systemen en een hele reeks interne dashboards en API's. In rustige tijden denkt niemand na over de grens tussen observeerbaarheid en surveillance. Maar wanneer er ontslagen vallen, wordt die grens ineens heel duidelijk.

In deze toelichting bekijken we wat er waarschijnlijk is gebeurd, waarom het verleidelijk is om dit soort tracking uit te voeren, waar het de ethische en beleidsmatige grenzen overschrijdt en wat organisaties kunnen doen om zowel privacyschade als de drang tot het verzamelen van geheime informatie te verminderen.

Wat er gebeurde (en wat "een script" hier waarschijnlijk betekent)

Volgens de BBC heeft Pinterest verklaard dat "twee engineers aangepaste scripts hebben geschreven waarmee ze op onrechtmatige wijze toegang kregen tot vertrouwelijke bedrijfsinformatie om de locaties en namen van alle ontslagen werknemers te achterhalen en deze vervolgens breder te delen." Het bedrijf noemt dit een schending van het bedrijfsbeleid en een privacyprobleem voor de betrokken medewerkers. Het bericht beschrijft ook hoe het mechanisme in de gaten hield of namen van werknemers werden verwijderd of gedeactiveerd in een interne communicatietool "zoals Slack".

Bij veel bedrijven is Slack (of een vergelijkbaar systeem) direct gekoppeld aan de identiteitsprovider (Okta, Azure AD, Google Workspace, enz.). Wanneer een account wordt uitgeschakeld, volgt een kettingreactie: toegangstokens verlopen, groepen veranderen en de gebruiker verschijnt niet meer in bepaalde directoryzoekopdrachten, kanalen en integraties. Als u API-toegang hebt (zelfs alleen-lezen), kunt u vaak afleiden wie is uitgeschakeld door simpelweg statuswijzigingen te detecteren.

  • Een gebruiker verdwijnt uit de lijst met 'actieve gebruikers'.
  • Het profiel van een gebruiker wordt gedeactiveerd.
  • Een bot kan ze geen privéberichten meer sturen.
  • Hun lidmaatschap verandert per kanaal of gebruikersgroep.

Een "script" hoeft in deze context niet ingewikkeld te zijn. Het kan een paar dozijn regels code zijn die een API bevragen, de gebruikerslijst van gisteren vergelijken met die van vandaag en een waarschuwing versturen. Vanuit een puur technisch oogpunt is het hetzelfde patroon dat engineers gebruiken voor legitieme operationele taken: twee momentopnamen vergelijken om wijzigingen te detecteren.

Het verschil zit hem in wat er wordt opgespoord (mensen), waarom het wordt opgespoord (ontslagen) en waar de resultaten terechtkomen (breed gedeeld worden).

Waarom werknemers dit doen tijdens ontslagrondes

Er is een ongemakkelijke waarheid over ontslagen: mensen vernemen meestal via informele kanalen hoe het precies zit, voordat de leiding iets duidelijk maakt. Soms komt dat doordat de leiding nog geen details kan delen. Soms komt het doordat "we werken nog aan de details" een eufemisme is voor "we willen er nog niets over zeggen".

Werknemers grijpen dus naar alle mogelijke signalen:

  • Vrienden worden plotseling stil.
  • Agenda-uitnodigingen verdwijnen.
  • De toegang tot de repositories is ingetrokken.
  • De Slack-status verandert, of de persoon verdwijnt uit de ledenlijst.

Het volgen van die signalen kan aanvoelen als zelfverdediging. Mensen willen weten:

  • Wordt mijn team hierdoor getroffen?
  • Is mijn manager ontslagen?
  • Zijn mijn naaste medewerkers hier nog steeds?
  • Gaat het goed met het bedrijf, of is dit een grotere herstructurering?

Die motivatie is menselijk en voorspelbaar. Maar voorspelbaar gedrag kan nog steeds schadelijk gedrag zijn.

Het privacyprobleem: ontslagstatus is gevoelige informatie.

Een ontslag is niet zomaar een detail over het werk. Het betreft gevoelige persoonlijke informatie over iemands arbeidsstatus, vaak gekoppeld aan secundaire arbeidsvoorwaarden, immigratie, ziektekostenverzekering en toekomstige carrièremogelijkheden.

Zelfs als een bedrijf van plan is om publiekelijk een personeelsreductie aan te kondigen, is het de bedoeling dat de identiteit van de betrokken personen en hun locaties doorgaans alleen bekend worden gemaakt aan degenen die deze informatie nodig hebben:

  • De HR- en salarisadministratie hebben details nodig.
  • De IT-afdeling moet het offboardingproces uitvoeren.
  • Wettelijke vereisten om naleving te waarborgen.
  • Managers moeten rechtstreeks met hun teams communiceren.

Het intern delen van een lijst met ontslagen werknemers op grote schaal is iets anders. Het kan:

  • Ontneem de betrokkene de mogelijkheid om het verhaal te sturen.
  • Iemands locatie of teamvoorkeur onthullen.
  • Stimuleer roddels en speculaties ("was het een acteerprestatie?" "was het politiek?").
  • Verhoogt het risico op gerichte intimidatie of doxing buiten het bedrijf.

De manier waarop Pinterest het presenteert – dat het de privacy van voormalige collega's heeft geschonden – is niet zomaar een PR-stunt. Het is een daadwerkelijke vorm van schade.

Het beveiligingsprobleem: toegangscontrole is niet hetzelfde als autorisatie.

Veel interne systemen werken met grove toegangsrechten: als engineer kun je bijvoorbeeld een directory raadplegen of een interne API gebruiken. Dat betekent echter niet dat je die voor elk doel mag gebruiken.

Dit is waar veel organisaties tegenaan lopen. Ze ontwikkelen interne tools die:

  • Gebruiksvriendelijk,
  • Krachtig,
  • Slecht bestuurd.

En dan vertrouwen ze op beleid ("doe dat niet") als belangrijkste vangnet. Wanneer de druk hoog is, schieten beleidsmatige vangnetten tekort.

NIST SP 800-53 is een van de standaardcatalogi die organisaties gebruiken om na te denken over beheersmaatregelen zoals toegangscontrole en auditing. Zelfs zonder te verdwalen in de details van de beheersmaatregelen, is het basisidee hier duidelijk van toepassing: toegang tot gegevens moet worden beperkt, gecontroleerd en toewijsbaar zijn aan legitieme zakelijke doeleinden – met name voor gevoelige categorieën informatie.

Met andere woorden: "je kunt dit technisch gezien lezen" mag nooit worden opgevat als "het is prima als je dit leest".

Het culturele probleem: Slack is het organigram geworden.

De meeste bedrijven kennen tegenwoordig twee parallelle realiteiten:

  1. De formele realiteit: HR-systemen, rapportagelijnen, officiële aankondigingen.
  2. De dagelijkse realiteit: Slack-kanalen, groeps-DM's, vermeldingen op GitHub, storingsdiensten.

Wanneer er iets verandert in het formele systeem (zoals het beëindigen van een dienstverband), heeft dat direct zichtbare gevolgen voor de dagelijkse praktijk. Werknemers interpreteren die gevolgen als de waarheid – soms zelfs sterker dan ze vertrouwen op communicatie van het management.

Die discrepantie creëert een perverse prikkel:

  • Als de leidinggevenden je niet vertellen wat er aan de hand is,
  • Je zult het reconstrueren aan de hand van alle gelekte telemetriegegevens.

Dit incident herinnert ons eraan dat 'interne transparantie' niet alleen een communicatiestrategie is, maar ook een strategie voor informatiebeveiliging. Als mensen het gevoel hebben dat ze de werkelijkheid moeten reconstrueren aan de hand van gelekte informatie, zullen ze dat ook doen.

Waar de ingenieurs de grens overschreden

Zelfs als je begrijpt waarom iemand zo'n script zou schrijven, zijn er minstens drie duidelijke grenzen die worden overschreden:

1) Doelbeperking

Als de gegevensbron "vertrouwelijke bedrijfsinformatie" betreft, is de verwachting dat deze wordt gebruikt voor een legitieme bedrijfsfunctie, en niet voor het onderzoeken van mogelijke ontslagen.

Het privacyraamwerk van NIST benadrukt het beheersen van privacyrisico's en het gebruik van methoden die individuen beschermen. Een praktische vertaling hiervan is: "gegevens verzamelen en gebruiken voor specifieke, legitieme doeleinden en secundair gebruik vermijden dat nieuwe schade veroorzaakt."

Een script om ontslagen collega's te identificeren is per definitie een secundair gebruik: de signalen voor het vertrek van collega's dienen ter bescherming van systemen en de uitvoering van HR-processen, niet om een ​​interne ontslaglijst te genereren.

2) Amplificatie

Mensen merken verdwijningen in Slack spontaan op — dat is een vorm van informatielekken.

Een script zet omgevingsinformatie om in een gestructureerde dataset (namen, locaties, waarschijnlijke teams, tijdstip van beëindiging). Dat is versterking: het potentiële gevaar neemt sterk toe wanneer vage signalen een duidelijke lijst worden.

3) Herverdeling

Het breder delen van de resultaten maakt het lastig om het af te doen als louter nieuwsgierigheid. Het creëert een nieuw distributiekanaal voor gevoelige informatie en maakt de auteurs verantwoordelijk voor eventueel misbruik.

Wat bedrijven kunnen doen: lekken verminderen, vertrouwen vergroten en de controles aanscherpen.

Er bestaat een misvatting dat de oplossing is om "alles af te sluiten". In de praktijk zijn drie complementaire stappen nodig: governance, technische controles en communicatie.

1) Beschouw afscheidsgebeurtenissen als gevoelig en ontwerp met oog voor privacy.

Het beëindigen van een dienstverband brengt onvermijdelijk systeemveranderingen met zich mee, maar je kunt de hoeveelheid informatie die erover wordt uitgewisseld wel verminderen:

  • Beperk wijzigingen in de openbare adreslijst tot het moment dat er communicatie plaatsvindt.
  • Vermijd massale verwijderingen van gebruikers die gemakkelijk te onderscheiden zijn.
  • Overweeg om bepaalde updates die niet essentieel zijn voor de beveiliging een paar uur uit te stellen, zodat ze niet als een realtime ontslaggolf fungeren.

Het doel is niet om de werkelijkheid voor altijd te verbergen. Het is om te voorkomen dat een pijnlijke gebeurtenis verandert in een speurtocht.

2) Voeg op doel gebaseerde toegangscontroles en logboekregistratie toe.

Als interne API's op grote schaal wijzigingen in de werknemersstatus kunnen weergeven, dan geldt het volgende:

  • De toegang moet worden beperkt tot de rollen die deze nodig hebben.
  • Export van grote hoeveelheden moet worden gerechtvaardigd.
  • Vragen moeten worden geregistreerd met identificatie en intentie.
  • Geautomatiseerde peilingen moeten opvallen.

Hier komt de mentaliteit van "controle en verantwoording" om de hoek kijken: als een script gebruikers opsomt en waarschuwingen genereert, moet het een detectiemechanisme activeren.

3) Zorg voor een menselijk communicatieplan bij ontslagen.

De belangrijkste drijfveer achter schaduwtracking is onzekerheid.

Bedrijven kunnen de neiging om interne tools te scrapen verminderen door expliciet te zijn:

  • Wanneer worden de getroffen werknemers op de hoogte gesteld?
  • Wanneer worden de teams geïnformeerd?
  • Wat kan er gedeeld worden, en wanneer?
  • Waar kunnen mensen terecht voor geverifieerde updates?

Als de leiding tijdig en specifieke informatie verstrekt, neemt de "behoefte" aan doe-het-zelf-lijstjes af.

4) Geef werknemers een officiële manier om contact te houden met hun medewerkers.

Dit is subtiel maar belangrijk. Mensen zijn niet alleen nieuwsgierig, ze proberen ook werk te coördineren en contact te houden met vrienden.

Een eenvoudig, officieel geregistreerd statusbericht ("dit account is niet langer actief") zonder tijdstempels, locatie of lijsten zou aan de basisbehoeften kunnen voldoen zonder dat massale reconstructie mogelijk wordt.

Een bredere trend: ontslagen als stresstest voor informatiebeveiliging.

Ontslagen leggen zwakke punten in het bestuur bloot, omdat ze het volgende creëren:

  • een reeks gevoelige gebeurtenissen,
  • een hoge emotionele temperatuur,
  • en veel verloop van toegang.

Precies dan zie je uitzonderlijke gevallen: werknemers die systemen leeghalen, managers die improviseren en tools die op manieren worden gebruikt waarvoor niemand ze heeft ontworpen.

Websites zoals Layoffs.fyi bestaan ​​omdat mensen behoefte hebben aan een onafhankelijk signaal over de omvang van de bezuinigingen in de sector. Binnen een bedrijf bestaat diezelfde behoefte, alleen zijn de signalen daar directer en staat er persoonlijk meer op het spel.

Kortom

Dat Pinterest engineers ontslaat omdat ze scripts gebruikten om ontslagen bij te houden, is niet zomaar een waarschuwing om niet nieuwsgierig te zijn. Het is een waarschuwing dat interne transparantie kan omslaan in interne surveillance zodra het vertrouwen binnen de organisatie afneemt.

Als je tools het makkelijk maken om identiteitsveranderingen om te zetten in een lijst met ontslagen collega's, zullen mensen dat doen – vooral tijdens reorganisaties. De oplossing is niet alleen het straffen van degenen die het script hebben geschreven; het gaat erom systemen en communicatiepraktijken te ontwikkelen die ervoor zorgen dat het vertrek van medewerkers niet uitmondt in een datalek, en die de arbeidsstatus behandelen als de gevoelige informatie die het is.

Bronnen

Document Title
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Page Content
Pinterest fired engineers who tracked layoffs in Slack — what it says about privacy, trust, and internal telemetry
Nature
Climate
/
General
/ By
Admin
Pinterest reportedly fired two engineers after they wrote scripts to identify which coworkers were being removed from internal tools during a layoff — and then shared that list more broadly. On the surface, this is a workplace drama story. Underneath, it’s an unusually clear case study in how modern companies actually run: identity systems as the source of truth, chat platforms as de facto org charts, and “internal data” that is technically accessible long before it is socially acceptable.
The incident matters beyond Pinterest because the same ingredients exist in almost every tech company: centralized identity, Slack or Teams, HR systems, and a long tail of internal dashboards and APIs. When times are calm, nobody thinks too hard about the line between observability and surveillance. When layoffs happen, that line lights up.
In this explainer, we’ll look at what likely happened, why it’s tempting to do this kind of tracking, where it crosses ethical and policy boundaries, and what organizations can do to reduce both privacy harm and the urge for shadow information-gathering.
What happened (and what “a script” probably means here)
According to the BBC, Pinterest said “two engineers wrote custom scripts improperly accessing confidential company information to identify the locations and names of all dismissed employees and then shared it more broadly,” calling it a policy violation and a privacy issue for affected staff. The reporting also describes the mechanism as watching for employee names being removed or deactivated inside an internal communication tool “like Slack.”
In many companies, Slack (or similar) is tied directly to the identity provider (Okta, Azure AD, Google Workspace, etc.). When an account is disabled, a cascade follows: access tokens expire, groups change, and the user stops appearing in certain directory searches, channels, and integrations. If you have API access (even read-only), you can often infer who was terminated simply by detecting state changes:
A user disappears from the “active users” list.
A user’s profile becomes deactivated.
A bot can no longer DM them.
Their membership changes across channels or user groups.
A “script” in this context doesn’t have to be sophisticated. It could be a few dozen lines of code polling an API, comparing yesterday’s user list to today’s, and emitting an alert. From a purely technical perspective, it’s the same pattern engineers use for legitimate operational tasks: diffing two snapshots to detect change.
The difference is what is being detected (people), why it’s being detected (layoffs), and where the results go (shared broadly).
Why employees do this during layoffs
There’s an uncomfortable truth about layoffs: people usually learn the shape of the event through side channels before leadership clarifies anything. Sometimes that’s because leadership can’t share details yet. Sometimes it’s because “we’re still working through the details” is a euphemism for “we don’t want to say.”
So employees reach for whatever signals exist:
Friends suddenly go silent.
Calendar invites vanish.
Access to repos is revoked.
Slack status flips, or the person disappears from the directory.
Tracking those signals can feel like self-defense. People want to know:
Is my team impacted?
Did my manager get cut?
Are my closest collaborators still here?
Is the company okay, or is this a larger restructuring?
That motivation is human and predictable. But predictable behavior can still be harmful behavior.
The privacy problem: layoff status is sensitive information
A termination event is not just “work trivia.” It’s sensitive personal information about someone’s employment status, often tied to benefits, immigration, health insurance, and future job prospects.
Even if a company plans to announce a headcount reduction publicly, the identity of the individuals and their locations is typically meant to be disclosed on a need-to-know basis:
HR and payroll need details.
IT needs to execute offboarding.
Legal needs to ensure compliance.
Managers need to communicate directly with their teams.
Broad internal sharing of a list of terminated employees is different. It can:
Remove the affected person’s ability to control the narrative.
Expose someone’s location or team affiliation.
Encourage gossip and speculation (“was it performance?” “was it political?”).
Increase the risk of targeted harassment or doxxing outside the company.
Pinterest’s framing — that it violated former colleagues’ privacy — is not just PR. It’s a real category of harm.
The security problem: access control isn’t the same as authorization
Many internal systems work on coarse permissions: if you’re an engineer, you might be able to query a directory or use an internal API. That doesn’t mean you’re authorized to use it for every purpose.
This is where a lot of organizations struggle. They build internal tools that are:
Easy to use,
Powerful,
Poorly governed.
And then they rely on policy (“don’t do that”) as the primary guardrail. When the pressure is high, policy-only guardrails fail.
NIST SP 800-53 is one of the standard catalogs organizations use to think about control families like access control and auditing. Even without getting lost in control IDs, the basic idea applies cleanly here: data access should be constrained, monitored, and attributable to legitimate business purposes — especially for sensitive categories of information.
In other words: “you can technically read this” should never be treated as “it’s fine for you to read this.”
The cultural problem: Slack has become the org chart
Most companies now have two parallel realities:
The formal reality: HR systems, reporting lines, official announcements.
The lived reality: Slack channels, group DMs, GitHub mentions, on-call rotations.
When something changes in the formal system (like offboarding), it immediately produces visible artifacts in the lived system. Employees interpret those artifacts as truth — sometimes more strongly than they trust leadership communications.
That mismatch creates a perverse incentive:
If leadership won’t tell you what’s happening,
you will reconstruct it from whatever telemetry leaks.
This incident is a reminder that “internal transparency” is not just a comms strategy — it’s also an information-security strategy. If people feel they must piece together reality from leaks, they will.
Where the engineers crossed the line
Even if you empathize with why someone might build such a script, there are at least three bright lines that get crossed:
1) Purpose limitation
If the data source is “confidential company information,” the expectation is that it’s used for a legitimate business function, not for layoff reconnaissance.
NIST’s Privacy Framework emphasizes managing privacy risk and using practices that protect individuals. A practical translation is “collect and use data for specific, legitimate purposes, and avoid secondary uses that create new harms.”
A script to identify terminated colleagues is almost definitionally a secondary use: the offboarding signals exist to protect systems and execute HR processes, not to generate an internal layoff list.
2) Amplification
People notice disappearances in Slack organically — that’s ambient information leakage.
A script turns ambient leakage into a structured dataset (names, locations, likely teams, time of termination). That is amplification: the harm potential rises sharply when vague signals become a clean list.
3) Redistribution
Sharing the output “more broadly” is the step that makes it hard to defend as mere curiosity. It creates a new distribution channel for sensitive information and makes the authors accountable for downstream misuse.
What companies can do: reduce leakage, increase trust, and tighten controls
There’s a misconception that the solution is “lock everything down.” In practice you need three complementary moves: governance, technical controls, and communication.
1) Treat offboarding events as sensitive and design for privacy
Offboarding inevitably changes systems, but you can reduce the informational exhaust:
Minimize public-facing directory changes until communications occur.
Avoid mass user removals that are easy to diff.
Consider delaying certain non-security-critical updates by hours so they don’t act as a real-time layoff feed.
The goal isn’t to hide reality forever. It’s to avoid turning a painful event into a scavenger hunt.
2) Add purpose-based access controls and logging
If internal APIs can reveal employee status changes at scale, then:
Access should be scoped to roles that need it.
Bulk export should require justification.
Queries should be logged with identity and intent.
Automated polling should stand out.
This is where the “audit and accountability” mindset matters: if a script is enumerating users and emitting alerts, it should trigger detection.
3) Have a humane comms plan for layoffs
The biggest driver of shadow tracking is uncertainty.
Companies can reduce the impulse to scrape internal tools by being explicit:
When will impacted employees be told?
When will teams be informed?
What can be shared, and when?
Where should people go for verified updates?
If leadership provides timely, specific information, the “need” for DIY lists drops.
4) Give employees a sanctioned way to check on collaborators
This is subtle but important. People are not only curious — they’re trying to coordinate work and check on friends.
A simple, sanctioned directory status message (“this account is no longer active”) without timestamps, location, or lists could satisfy basic needs without enabling mass reconstruction.
A wider trend: layoffs as an information-security stress test
Layoffs reveal weak points in governance because they create:
a burst of sensitive events,
a high emotional temperature,
and a lot of access churn.
That’s exactly when you see edge cases: employees scraping systems, managers improvising, and tools being used in ways nobody designed for.
Sites like Layoffs.fyi exist because people want an independent signal about the scale of cuts in the industry. Inside a company, that same need exists — except the signals are more direct and the stakes are personal.
Bottom line
Pinterest firing engineers for scripting layoff tracking isn’t just “don’t be nosy.” It’s a warning that internal observability can become internal surveillance the moment organizational trust drops.
If your tooling makes it easy to turn identity churn into a list of terminated coworkers, people will do it — especially during layoffs. The fix isn’t only punishing the people who wrote the script; it’s building systems and communication practices that don’t turn offboarding into a data leak, and that treat employment status as the sensitive information it is.
Sources
https://www.bbc.com/news/articles/cn0k670n0ydo
https://layoffs.fyi/
https://www.nist.gov/privacy-framework
https://csrc.nist.gov/pubs/sp/800/53/r5/final
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
How Apple’s Lockdown Mode can derail iPhone forensics — and why that’s the point
Senators grill Waymo and Tesla on robotaxi safety — what’s actually at stake
Pinterest fired engineers after scripts tracked layoffs via internal tools; why employment-status data is sensitive and how to prevent internal surveillance.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
e Nederlands