Badacz bezpieczeństwa odkrył internetowy serwer internetowy zawierający życiorysy osób ubiegających się o pracę ze strony rekrutacyjnej Monster.
Po dalszej kontroli na serwerze znaleziono życiorysy i życiorysy kandydatów do pracy z lat 2014 – 2017. Wiele z nich zawierało prywatne informacje, takie jak numery telefonów, adresy osobiste, adresy e-mail, a nawet wcześniejsze doświadczenie zawodowe kandydatów.
W tej chwili nadal nie wiemy, ile plików zostało ujawnionych na serwerze, ale patrząc z perspektywy, pojedynczy plik datowany na maj 2017 r. zawierał tysiące życiorysów. Oprócz życiorysów na odsłoniętym serwerze odkryto również dokumenty imigracyjne do pracy, których Monster nie zbiera.
Zgodnie z oświadczeniem specjalisty ds. prywatności Monster, Michaela Jonesa, serwer nie należy do samej firmy, ale do niezidentyfikowanego klienta rekrutacyjnego, z którym firma nie współpracuje. Więcej Jednak Monster nie podał nazwy rekrutującego klienta, gdy naciskał go TechCrunch.
ujawniony serwer
Gdy Monster został powiadomiony o wycieku danych, poinformował firmę rekrutacyjną o problemie, a ujawniony serwer został zabezpieczony.
Jednak chociaż dane nie są już bezpośrednio dostępne z ujawnionego serwera, setki CV i innych dokumentów przesłanych przez osoby poszukujące pracy nadal można znaleźć w wynikach wyszukiwania w pamięci podręcznej.
Działając jako strona trzecia, a nie Monster, która ujawniła dane, firma nie ostrzegła swoich użytkowników, że ich dane zostały ujawnione online. W rzeczywistości firma przyznała, że dane użytkowników zostały ujawnione po tym, jak badacz bezpieczeństwa, który odkrył serwer, zgłosił to do TechCrunch.
Monster próbował uniknąć odpowiedzialności za wyciek danych w oświadczeniu, w którym stwierdził:
„Klienci, którzy wykupią dostęp do danych Monster – życiorysy i życiorysy – stają się właścicielami i są odpowiedzialni za ich bezpieczeństwo. Ponieważ klienci są właścicielami tych danych, ponoszą wyłączną odpowiedzialność za powiadamianie zainteresowanych stron w przypadku naruszenia baza klientów”.
Chociaż Monster nie ma obowiązku zgłaszania naruszeń danych organom regulacyjnym, inne firmy zaczęły proaktywnie ostrzegać swoich użytkowników, gdy zaangażowane są strony trzecie.
Via TechCrunch