Prosperix泄露了近25万份文件。这次入侵暴露了求职者的敏感数据,包括家庭住址和电话号码。
Prosperix的前身是Crowdstaffing,它自称是一家“劳动力创新”公司,为企业开发软件解决方案,打造一支“非凡”的劳动力队伍。它列出了毕马威、沃尔玛、NBC环球和雅芳等信任该公司的品牌。
5月1日,Cybernews研究团队发现了一个配置错误的Amazon AWS bucket。配置错误导致了大约250,000个文件的暴露。其中42,000份载有求职者的敏感资料,包括:
1、全名
2、出生日期
3、职业历史
4、家庭住址
5、联系电话
6、电子邮件地址
据研究人员称,这些文件大部分是就业授权文件、驾驶执照、简历、填写好的工作申请表、文凭证书和成绩单。其中一些是医疗记录,包括尿检和疫苗接种记录。
公司很快就解决了这个问题。赛博新闻联系了一位官方评论者,但尚未收到回复。
潜在风险
像这样的数据泄露会给公司和受影响的求职者带来许多负面后果。
“个人的个人信息(北极星产业),如全名,出生日期,电子邮件,电话号码和家庭住址可以被利用身份盗窃,鱼叉式网络钓鱼攻击,和其他种类的欺诈,”我们的研究人员警告说。
例如,欺诈者可以滥用这些数据来建立虚假的招聘机构。“这是相当容易的,因为诈骗者已经掌握了足够的潜在受害者信息,使他们有针对性的骗局看起来像是诱人的就业机会。”
大部分被曝光的就业授权文件和驾驶执照似乎已经过期。然而,漏桶事件要追溯到2017年。
研究人员警告说:“它的曝光可能意味着这些文件在相当长的一段时间内都可以被访问。”
Prosperix应侧重于以下领域,以减轻风险:
加密:为现有的Amazon S3 bucket设置默认的服务器端加密。
审计和日志记录:定期检查服务器访问日志
员工培训:加强对数据安全的知识和意识。
这并不是Cybernews研究团队第一次偶然发现求职者数据的曝光。去年,国际工作搜索引擎Jooble.org将自己和客户置于风险之中,因为它没有保护一个470GB的数据库。
该数据库的大部分是由不同的工作职位和搜索公司。我们的研究结果还表明,东欧求职者处于危险之中,因为泄露的数据包含他们的个人信息。
像这样的信息泄露会给求职者带来风险,所以他们应该学习如何识别常见的与求职相关的诈骗技巧。
“例如,犯罪分子往往在申请过程的早期就要求提供金钱、财务信息或详细的个人信息。他们还建议通过社交媒体聊天来进行面试,设立一个几乎没有社交媒体存在的假公司名称,并提供高得令人怀疑的薪水。”他们说。
求职者应该做好功课,仔细研究该公司的历史和网上形象。通过官方渠道联系公司也是一个不错的办法。