una società degli UK ha esposto i dato online dei propri candiati

 

Buongiorno cari lettori, oggi parleremo di una società di reclutamento del Regno Unito ha esposto i dati sensibili dei candidati.

La società è stata informata dei dati esposti nel dicembre 2020, ma ha risposto e ha protetto i dati solo nel marzo 2021.

L'azienda FastTrack Reflex Recruitment si è recentemente unita ai ranghi di altre aziende che sono state colpite da perdite di dati a causa di bucket AWS S3 configurati in modo errato . Questa violazione dei dati ha colpito maggiormente i candidati i cui CV contenenti informazioni personali sono stati trapelati, riferisce il team di ricerca di Website Planet.

VEDERE: Il portale di reclutamento nel Regno Unito subisce una massiccia violazione dei dati

In allegato a numerosi CV c'erano i documenti d'identità dei candidati, inclusi passaporti, carte d'identità dei cittadini, patenti di guida e carte d'identità dei lavoratori qualificati. Tutti questi costituiscono PII richiedente diretto e indiretto. Esempi di PII direttamente identificabili includono quanto segue:

Nomi completi

Indirizzi email

Indirizzi di casa

Date di nascita

Numeri di passaporto

Foto dei candidati

Numeri di cellulare

URL di social network per alcuni candidati.

 

Vale la pena notare che la configurazione del server non è responsabilità di Amazon, ma piuttosto della società, FastTrack, che lo utilizza come risorsa di archiviazione cloud pubblica.

Una società di reclutamento del Regno Unito ha esposto per mesi i dati sensibili dei candidati

Esempio di dati trapelati (Immagine: Website Planet)

Il secchio, secondo il post sul blog di Website Planet , includeva 21.000 file client (inclusi i duplicati), pari a 5 GB di dati, che erano lasciati non protetti per qualsiasi hacker o criminale informatico con intenti dannosi da sfruttare.

Inoltre, decine di migliaia di persone potrebbero esserne colpite. Come risultato di questa esposizione, FastTrack potrebbe ricevere un'azione legislativa dal GDPR e dal Data Protection Act 2018 del Regno Unito. 

I clienti potrebbero essere colpiti da vari atti criminali se i criminali informatici trovassero questo database non protetto. Questi includono furto di identità, frode, truffe, phishing, malware, furto e acquisizione di account.

La società, d'altra parte, sarà colpita a causa della mancata osservanza delle leggi sulla privacy dei dati come il GDPR, che potrebbe sanzionarla con una sanzione di circa 20 milioni di euro, o il 4% del fatturato annuo della società in questione (a seconda di quale sia maggiore).

 

Inoltre, potrebbero subire una perdita di affari a causa della perdita di fiducia dei clienti esistenti nella loro azienda e dell'allontanamento dei potenziali nuovi candidati. 

La violazione dei dati è stata scoperta per la prima volta il 29 dicembre 2020 dal team di ricerca di Website Planet e l'azienda è stata contattata il 15 e 17 gennaio 2021 ma hanno risposto solo il 17 marzo, dopo diversi tentativi di contatto, e il 23 marzo è stato messo in sicurezza il secchio 2021.