Monster.com atzīst, ka trešās puses serveri ir pakļauti tūkstošiem CV

Monster Data Breach

Monster.com ir populāra nodarbinātības vietne, kurā ir milzīga atsākumu datu bāze. Platformai uzticas miljardiem cilvēku visā pasaulē. Tomēr šķiet, ka tik lielas personāla atlases vietnes ir vienmērīgi uzņēmīgas pret datu pārkāpumiem.

Nesen drošības pētnieks plankumains ievainojamība tīmekļa serverī, kurā atradās daudzu cilvēku atsākšana. Diemžēl Monster.com bija viena no tām platformām, kas tika ietekmēta šīs ievainojamības rezultātā. Pārskati liecina, ka no 2014. līdz 2017. gadam serverim bija atsākti darba meklētāji. Ir acīmredzams, ka pakļautais serveris nopludināja svarīgu informāciju, kas saistīta ar šiem darba meklētājiem, tostarp adreses, tālruņu numurus, iepriekšējo darba pieredzi un e-pasta adreses.

Kaut arī Monster.com nekad nevāc imigrācijas informāciju, šī informācija tika nopludināta arī atklātajos failos. Varas iestādes ātri veica nepieciešamās darbības un noņēma pakļauto serveri. Tomēr ļaunprātīgie dalībnieki joprojām var piekļūt šiem CV ar meklētājprogrammas kešatmiņu palīdzību.

Pēc Monster teiktā, šis serveris piederēja trešās puses personāla atlases aģentūrai, un uzņēmums ar tiem vairs nestrādā. Personāla atlases vietne atteicās dalīties ar jebkādu informāciju, kas saistīta ar personāla atlases aģentūru. Vissliktākais šajā situācijā ir tas, ka Monster.com vispirms neinformēja lietotājus par datu pārkāpumu. Uzņēmums brīdināja savus lietotājus pēc tam, kad par to ziņoja drošības pētnieks.

Datu apkopotājiem būtu jābrīdina lietotāji par pārkāpumiem

Mēs piekrītam faktam, ka Monster pati nebija iesaistīta datu pārkāpumā. Tomēr šī situācija liek apšaubīt visas nodarbinātības platformas par viņu datu aizsardzības praksi. Mēs esam redzējuši daudz piemēru, kur datu atklāšanā bija iesaistītas trešās puses.

Tāpēc datu savācēji ir atbildīgi par to trešo personu privilēģiju ievērošanu, kurām ir piekļuve lietotāja datiem. Viņiem jānodrošina, ka trešās puses ievēro platformas kiberdrošības politiku. Privilēģijas būtu jāierobežo, lai tās atbilstu viņu lomai.

Ņemot vērā faktu, ka Monster.com nav brīdinājis lietotājus pats, šādiem uzņēmumiem būtu jābrīdina lietotāji par drošības pārkāpumiem, kas apdraud viņu personas datus. Šo negadījumu ietekme atteikuma gadījumā var atstāt negatīvu ietekmi uz lietotājiem. Šiem uzņēmumiem nav juridiska pienākuma brīdināt lietotājus un regulatorus par šādiem incidentiem. Tomēr tiek uzskatīts par morālu praksi informēt lietotājus par to pašu.