„Monster.com“ pripažįsta trečiųjų šalių serverių tūkstančius gyvenimo aprašymų

Monstrų duomenų pažeidimas

„Monster.com“ yra populiari įdarbinimo svetainė, kurioje yra didžiulė gyvenimo aprašymų duomenų bazė. Platforma pasitiki milijardai žmonių visame pasaulyje. Tačiau panašu, kad tokios didelės įdarbinimo svetainės yra tolygiai linkusios į duomenų pažeidimus.

Neseniai saugumo tyrinėtojas dėmėtas interneto serverio pažeidžiamumas, kuriame buvo daugelio gyvenimo aprašymų. Deja, „Monster.com“ buvo viena iš tų platformų, kurios buvo paveiktos dėl šio pažeidžiamumo. Ataskaitose teigiama, kad nuo 2014 m. Iki 2017 m. Serveris vėl ieškojo darbo. Akivaizdu, kad veikiantis serveris nutekino tam tikrą svarbią informaciją, susijusią su tais ieškančiais darbo, įskaitant adresus, telefono numerius, ankstesnę darbo patirtį ir el. Pašto adresus.

Nors „Monster.com“ niekada nerenka imigracijos informacijos, ši informacija buvo nutekinta ir atidengtuose failuose. Valdžia greitai ėmėsi būtinų veiksmų ir pašalino veikiantį serverį. Tačiau kenkėjiški veikėjai vis tiek gali pasiekti šiuos gyvenimo aprašymus naudodami paieškos sistemos talpyklas.

Pasak „Monster“, šis serveris priklausė trečiųjų šalių įdarbinimo agentūrai ir bendrovė su jais nebedirba. Įdarbinimo svetainė atsisakė dalintis bet kokia su įdarbinimo agentūra susijusia informacija. Blogiausia šioje situacijoje yra ta, kad „Monster.com“ iš pradžių nepranešė vartotojams apie duomenų pažeidimą. Bendrovė įspėjo savo vartotojus po to, kai saugumo tyrėjas apie tai pranešė.

Duomenų rinkėjai turėtų įspėti vartotojus apie pažeidimus

Mes sutinkame su tuo, kad pati „Monster“ nebuvo susijusi su duomenų pažeidimu. Vis dėlto ši situacija kelia abejonių visoms užimtumo platformoms dėl jų duomenų apsaugos praktikos. Mes matėme daug pavyzdžių, kai trečiosios šalys dalyvavo atskleidžiant duomenis.

Todėl duomenų rinkėjai yra atsakingi už trečiųjų šalių, turinčių prieigą prie vartotojo duomenų, privilegijų stebėjimą. Jie turi užtikrinti, kad trečiosios šalys laikytųsi platformos kibernetinio saugumo politikos. Privilegijos turėtų būti apribotos, kad atitiktų jų vaidmenį.

Atsižvelgiant į tai, kad „Monster.com“ pati neįspėjo vartotojų, tokios įmonės turėtų įspėti vartotojus apie saugumo pažeidimus, pažeidžiančius jų asmens duomenis. Šių incidentų poveikis gali neigiamai paveikti vartotojus atsisakymo atveju. Šios įmonės nėra teisiškai įpareigotos įspėti vartotojus ir reguliavimo institucijas apie tokius įvykius. Tačiau laikoma moraline praktika informuoti vartotojus apie tą patį.