Monster.com priznava na tisoče življenjepisov izpostavljenih strežnikov drugih proizvajalcev

Kršitev podatkov o pošasti

Monster.com je priljubljeno spletno mesto za zaposlovanje, ki vsebuje ogromno bazo podatkov o življenjepisih. Platformi zaupajo milijarde ljudi po vsem svetu. Vendar se zdi, da so tako velika mesta za zaposlovanje enakomerno dovzetna za kršitve podatkov.

V zadnjem času raziskovalec varnosti opažen ranljivost spletnega strežnika, ki je vsebovala življenjepise mnogih. Na žalost je bila Monster.com ena izmed tistih platform, ki so bile prizadete zaradi te ranljivosti. Poročila nakazujejo, da je imel strežnik življenjepise iskalcev zaposlitve med letoma 2014 in 2017. Očitno je, da je izpostavljeni strežnik razkril nekatere pomembne informacije, povezane z iskalci zaposlitve, vključno z naslovi, telefonskimi številkami, preteklimi delovnimi izkušnjami in e-poštnimi naslovi.

Čeprav Monster.com nikoli ne zbira podrobnosti o priseljevanju, so te informacije pricurljale tudi v izpostavljene datoteke. Oblasti so hitro sprejele potrebne ukrepe in odstranile izpostavljeni strežnik. Vendar lahko zlonamerni igralci do teh življenjepisov še vedno dostopajo s pomočjo predpomnilnikov iskalnika.

Po navedbah Monstera je ta strežnik pripadal neodvisni agenciji za zaposlovanje in podjetje z njimi ne sodeluje več. Spletna stran za novačenje ni želela posredovati nobenih podrobnosti v zvezi z agencijo za zaposlovanje. Najslabše v tej situaciji je, da Monster.com uporabnikov sploh ni obvestil o kršitvi podatkov. Podjetje je opozorilo svoje uporabnike, potem ko je varnostni raziskovalec to prijavil.

Zbiralci podatkov bi morali uporabnike opozarjati na kršitve

Strinjamo se z dejstvom, da Monster sam ni sodeloval pri kršitvi podatkov. Kljub temu pa vse platforme za zaposlovanje postavljajo pod vprašaj njihove prakse varstva podatkov. Videli smo veliko primerov, ko so pri razkrivanju podatkov sodelovale tretje osebe.

Zbiralci podatkov so zato odgovorni za spremljanje privilegijev tretjih oseb, ki imajo dostop do uporabniških podatkov. Zagotoviti morajo, da tretje osebe upoštevajo politike kibernetske varnosti platforme. Privilegije je treba omejiti, da ustrezajo njihovi vlogi.

Glede na to, da Monster.com uporabnikov ni opozoril sam, bi morala takšna podjetja uporabnike opozoriti na kršitve varnosti, ki ogrožajo njihove osebne podatke. Vpliv teh incidentov lahko v primeru zavrnitve negativno vpliva na uporabnike. Ta podjetja nimajo pravne obveznosti, da opozorijo uporabnike in regulatorje o takih dogodkih. Vendar se šteje za moralno prakso obveščanje uporabnikov o istem.