Bазиpyв платформы для удаленного найма, базирующейся в Сингапуре, оставалась без защиты в интернете, что позволило любому человеку, знающему, где искать, получить доступ. Поскольку эта база содержала много конфиденциальной информации, компания случайно подвергла риску сотни тысяч людей, создав угрозу кражи данных, мошенничества, фишинга и других проблем.
Исследовательская группа обнаружила неправильно настроенный хранилище данных Amazon AWS S3, в котором в начале августа находилось более 280,000 файлов, включая резюме и автобиографии.
Дополнительное расследование показало, что база данных принадлежит Snaphunt, онлайн-платформе для найма, которая связывает работодателей с соискателями. Несмотря на то, что компания базируется в Сингапуре, она является глобальной и, вероятно, содержит конфиденциальную информацию о людях по всему миру. Платформа предлагает такие функции, как предварительный отбор, оценка навыков и инструменты для удаленного найма.
Архив содержал информацию, созданную с 2018 по 2023 годы, включая полные имена, номера телефонов, адреса электронной почты, места рождения, национальность, дату рождения, ссылки на социальные сети, историю трудовой деятельности и образование.
Потенциальные угрозы, связанные с социальными инженерными атаками, возрастут, так как злоумышленники могут выдавать себя за фиктивные агентства по найму или использовать утекшие данные, чтобы проникнуть в профессиональные сети, рассылать вредоносные программы или извлекать дальнейшую конфиденциальную информацию.
Мошенничества, связанные с работой, не являются новыми — на этой неделе стало известно, что одна компания была взломана после найма северокорейского хакера, который подделал всю свою идентичность. Неизвестная фирма потеряла секретные данные и получила требование о выкупе на сумму в шесть цифр.
Незащищенные базы данных остаются одной из наиболее частых причин утечек данных. Многие организации, включая некоторые из крупнейших мировых компаний, были уличены в эксплуатации интернет-доступных архивов без пароля, что ставит под угрозу данных множества их клиентов. В большинстве случаев такая уязвимость возникает из-за простой ошибки сотрудника.
Источник: TechRadar
