Monster.com допускает, что сторонний сервер опубликовал тысячи резюме

Нарушение данных о монстрах

Monster.com - популярный сайт по трудоустройству, который содержит огромную базу данных резюме. Платформе доверяют миллиарды людей по всему миру. Тем не менее, похоже, что такие большие сайты найма в равной степени подвержены утечкам данных.

Недавно был исследователем безопасности пятнистый уязвимость на веб-сервере, содержащая резюме многих. К сожалению, Monster.com была одной из тех платформ, которые пострадали в результате этой уязвимости. Отчеты показывают, что на сервере были резюме соискателей работы в период с 2014 по 2017 год. Очевидно, что открытый сервер просочился некоторой важной информации, связанной с этими соискателями, включая адреса, номера телефонов, прошлый опыт работы и адреса электронной почты.

Хотя Monster.com никогда не собирает иммиграционные данные, эта информация также просочилась в открытые файлы. Власти оперативно предприняли необходимые действия и удалили открытый сервер. Однако злоумышленники по-прежнему могут получить доступ к этим резюме с помощью кешей поисковой системы.

Согласно Monster, этот сервер принадлежал стороннему кадровому агентству, и компания больше с ними не работает. Сайт приема на работу отказался сообщить какие-либо подробности, связанные с кадровым агентством. Хуже всего в этой ситуации то, что Monster.com вообще не проинформировал пользователей об утечке данных. Компания предупредила своих пользователей после того, как об этом сообщил исследователь безопасности.

Сборщики данных должны предупреждать пользователей о нарушениях

Мы согласны с тем, что компания Monster не была причастна к утечке данных. Тем не менее, эта ситуация ставит все платформы занятости под сомнение относительно их практики защиты данных. Мы видели много примеров, когда третьи стороны участвовали в раскрытии данных.

Таким образом, сборщики данных несут ответственность за то, чтобы следить за привилегиями третьих лиц, имеющих доступ к пользовательским данным. Они должны гарантировать, что третьи стороны соблюдают политику кибербезопасности платформы. Привилегии должны быть ограничены в соответствии с их ролью.

Учитывая тот факт, что Monster.com сам не предупреждал пользователей, такие компании должны предупреждать пользователей о нарушениях безопасности, ставящих под угрозу их личные данные. Влияние этих инцидентов может оказать негативное влияние на пользователей в случае отказа. Эти компании не обязаны предупреждать пользователей и регулирующие органы о таких инцидентах. Однако сообщать пользователям об этом считается моральной практикой.