Una società del Regno Unito ha esposto i dati sensibili dei candidati
Buongiorno cari lettori, oggi parleremo di una società che ha perso i dati dei propri candidati.
La società è stata informata dei dati esposti nel dicembre 2020, ma ha risposto e protetto i dati solo nel marzo 2021.
L'azienda FastTrack Reflex Recruitment si è recentemente unita ai ranghi di altre società che sono state colpite da fughe di dati a causa di bucket AWS S3 configurati in modo errato . Questa violazione dei dati ha colpito maggiormente i richiedenti i cui CV contenenti informazioni personali sono trapelati, riferisce il team di ricerca di Website Planet.
In allegato a numerosi CV c'erano gli ID personali dei richiedenti, inclusi passaporti, carte d'identità dei cittadini, patenti di guida e ID di lavoratori qualificati. Tutti questi costituiscono PII richiedente diretto e indiretto. Esempi di PII direttamente identificabili includono quanto segue:
Nomi completi
Indirizzi email
Indirizzi di casa
Date di nascita
Numeri di passaporto
Foto dei candidati
Numeri di cellulare
URL di social network per alcuni candidati.
Vale la pena notare che la configurazione del server non è responsabilità di Amazon ma piuttosto dell'azienda, FastTrack, che lo utilizza come risorsa di archiviazione cloud pubblica.
Una società di reclutamento del Regno Unito ha esposto i dati sensibili dei candidati per mesi
Esempio di dati trapelati (Immagine: Website Planet)
Il bucket, secondo il post sul blog di Website Planet , includeva 21.000 file client (inclusi i duplicati), equivalenti a 5 GB di dati, che sono stati lasciati non protetti per qualsiasi hacker o criminale informatico con un intento dannoso di trarne vantaggio.
Inoltre, decine di migliaia di persone potrebbero esserne colpite. Come risultato di questa esposizione, FastTrack potrebbe ricevere un'azione legislativa dal GDPR e dal Data Protection Act 2018 del Regno Unito.
I clienti potrebbero essere colpiti da vari atti criminali se i criminali informatici trovassero questo database non protetto. Questi includono furto di identità, frode, truffe, phishing, malware, furto e furto di account.
L'azienda, d'altra parte, sarà colpita dalla mancata osservanza delle leggi sulla privacy dei dati come il GDPR che potrebbe multarle di circa 20 milioni di euro, ovvero il 4% del fatturato annuo dell'azienda in questione (a seconda di quale sia il più alto).
Inoltre, potrebbero subire una perdita di affari a causa del fatto che i loro clienti esistenti perdono la fiducia nella loro azienda e che i loro potenziali nuovi candidati vengano allontanati.
La violazione dei dati è stata scoperta per la prima volta il 29 dicembre 2020 dal team di ricerca di Website Planet e la società è stata contattata il 15 e 17 gennaio 2021, ma hanno risposto solo il 17 marzo, dopo diversi tentativi di contatto, e il 23 marzo è stato messo in sicurezza il bucket. 2021.
