Monster.com indrømmer tredjepartsserver udsatte tusinder af CV'er

Monster Databrud

Monster.com er et populært beskæftigelseswebsted, der indeholder en enorm database med genoptagelser. Platformen er tillid til af milliarder af mennesker over hele verden. Det ser imidlertid ud til, at sådanne store rekrutteringswebsteder er jævnt modtagelige for databrud.

For nylig en sikkerhedsforsker fik øje på en sårbarhed på en webserver, der indeholdt manges CV. Desværre var Monster.com en af ​​de platforme, der blev påvirket som et resultat af denne sårbarhed. Rapporterne antyder, at serveren havde genoptagelser af jobsøgende mellem 2014 og 2017. Det er indlysende, at den eksponerede server lækkede nogle vigtige oplysninger relateret til disse jobsøgende, herunder adresser, telefonnumre, tidligere erhvervserfaring og e-mail-adresser.

Selvom Monster.com aldrig indsamler indvandringsoplysninger, lækkede disse oplysninger også i de udsatte filer. Myndighederne var hurtige til at tage de nødvendige handlinger og fjernede den eksponerede server. Imidlertid kan de ondsindede aktører stadig få adgang til disse genoptagelser ved hjælp af caches fra søgemaskinen.

Ifølge Monster tilhørte denne server et tredjeparts rekrutteringsbureau, og virksomheden arbejder ikke længere med dem. Rekrutteringswebstedet nægtede at dele oplysninger om rekrutteringsbureauet. Det værste ved denne situation er, at Monster.com i første omgang ikke informerede brugerne om databrud. Virksomheden advarede sine brugere, efter at sikkerhedsforskeren rapporterede det.

Dataindsamlere bør advare brugere om overtrædelser

Vi er enige i det faktum, at Monster ikke selv var involveret i databrudet. Alligevel sætter denne situation alle beskæftigelsesplatforme i tvivl om deres databeskyttelsespraksis. Vi har set mange eksempler, hvor tredjeparter var involveret i udsættelse af data.

Derfor er dataindsamlerne ansvarlige for at holde øje med privilegier fra tredjeparter, der har adgang til brugerdata. De skal sikre, at tredjeparter overholder platformens cybersikkerhedspolitikker. Privilegierne bør begrænses, så de passer til deres rolle.

I betragtning af at Monster.com ikke advarede brugerne selv, skulle sådanne virksomheder advare brugere om sikkerhedsbrud, der kompromitterer deres personlige data. Virkningen af ​​disse hændelser kan efterlade en negativ indvirkning på brugerne i tilfælde af benægtelse. Der er ingen juridisk forpligtelse for disse virksomheder til at advare brugerne og tilsynsmyndighederne om sådanne hændelser. Det betragtes dog som en moralsk praksis at informere brugerne om det samme.