Хмарний сервіс TalentHook, призначений для відстеження кандидатів, залишив у мережі відкритим неправильно налаштований екземпляр, через що в мережу потрапили десятки мільйонів резюме з особистими даними здобувачів роботи — від повних імен до домашніх адрес, повідомляє Cybernews.
Як виявилося, оновлення кар’єри може обернутися значно більшими проблемами, ніж просто відмова від роботи. Виявили відкритий контейнер Azure Blob Storage, у якому зберігалося близько 26 мільйонів файлів. Переважна більшість із них — резюме американських шукачів роботи.
Фахівці встановили, що цей контейнер належав компанії TalentHook, яка розробляє програми для відстеження кандидатів і допомагає рекрутерам знаходити претендентів. Власником TalentHook є Resource Edge — постачальник програмних рішень із Невади.
За словами команди дослідників, викриті дані з резюме можуть стати справжньою знахідкою для кіберзлочинців. Така детальна особиста інформація відкриває шлях до таргетованих фішингових атак: електронні адреси та номери телефонів можуть використовуватися для фішингових листів, шахрайських SMS або фальшивих пропозицій роботи. Метою таких афер може стати виманювання у людей конфіденційної інформації — зокрема сканів документів чи банківських реквізитів.
Які дані про кандидатів опинилися у відкритому доступі
Переважна частина файлів, що стали доступними через некоректно налаштований контейнер, виявилася звичайними резюме. І хоча це може здатися буденним, насправді в них міститься чимало чутливої інформації, яку зазвичай вказують шукачі роботи, зокрема:
- повне ім’я;
- електронна пошта;
- контактні номери;
- відомості про освіту;
- професійні навички та досвід;
- історія працевлаштування.
Опинившись у відкритому доступі, ці дані можуть стати справжнім скарбом для кіберзлочинців. Викрадену інформацію легко використати для шахрайських схем, крадіжки особистих даних або для видавання себе за іншу людину. До того ж зловмисники здатні маскуватися під рекрутерів чи роботодавців і вимагати гроші з довірливих кандидатів — буцімто за оформлення фальшивих вакансій, перевірку біографії чи «навчальні курси».
Ще одна серйозна загроза — доксинг: публікація особистих даних людей без їхньої згоди. Якщо у відкритому доступі опиняються такі відомості, як домашня адреса чи телефон, це підвищує ризик переслідувань, залякувань або навіть фізичної небезпеки для постраждалих.
Щоб виправити ситуацію та запобігти подібним інцидентам у майбутньому, фахівці радять TalentHook вжити низку кроків:
- скорегувати налаштування доступу, обмеживши публічний доступ до контейнера;
- оновити права доступу так, щоб інформацію могли переглядати лише уповноважені користувачі чи сервіси;
- ретельно перевірити журнали доступу, аби з’ясувати, чи не було несанкціонованих звернень до даних;
- увімкнути серверне шифрування для захисту інформації у стані спокою;
- користуватися Microsoft Azure Key Vault для безпечного зберігання ключів шифрування;
- запровадити кращі практики кібербезпеки, включно з регулярними аудитами, автоматизованими перевірками захисту та навчанням персоналу.
