Monster.com indrømmer tredjepartsserver udsatte tusinder af CV'er
Monster.com er et populært beskæftigelseswebsted, der indeholder en enorm database med genoptagelser. Platformen er tillid til af milliarder mennesker over hele verden. Imidlertid ser det ud til, at sådanne store rekrutteringswebsteder er jævnt modtagelige for databrud.
For nylig opdagede en sikkerhedsforsker en sårbarhed på en webserver, der indeholdt CV's fra mange. Desværre var Monster.com en af de platforme, der blev påvirket som et resultat af denne sårbarhed. Rapporterne antyder, at serveren havde genoptaget jobssøgere mellem 2014 og 2017. Det er indlysende, at den eksponerede server lækkede nogle vigtige oplysninger relateret til disse jobsøgende, herunder adresser, telefonnumre, tidligere erhvervserfaring og e-mail-adresser.
Selvom Monster.com aldrig indsamler oplysninger om indvandring, lækkede disse oplysninger også i de udsatte filer. Myndighederne var hurtige til at tage de nødvendige handlinger og fjernede den eksponerede server. Imidlertid kan de ondsindede aktører stadig få adgang til disse genoptagelser ved hjælp af caches fra søgemaskinen.
Ifølge Monster tilhørte denne server et tredjeparts rekrutteringsbureau, og virksomheden arbejder ikke længere med dem. Rekrutteringswebstedet nægtede at dele oplysninger om rekrutteringsbureauet. Det værste ved denne situation er, at Monster.com i første omgang ikke informerede brugerne om databrud. Virksomheden advarede sine brugere, efter at sikkerhedsforskeren rapporterede det.
Dataindsamlere skal advare brugere om overtrædelser
Vi er enige i, at Monster ikke selv var involveret i databrudet. Alligevel sætter denne situation alle beskæftigelsesplatforme i tvivl om deres databeskyttelsespraksis. Vi har set mange eksempler, hvor tredjeparter var involveret i udsættelse af data.
Derfor er dataindsamlerne ansvarlige for at holde øje med privilegier fra tredjeparter, der har adgang til brugerdata. De skal sikre, at tredjeparter overholder platformens cybersikkerhedspolitikker. Privilegierne bør begrænses, så de passer til deres rolle.
I betragtning af at Monster.com ikke advarede brugerne selv, skulle sådanne virksomheder advare brugerne om sikkerhedsbrud, der kompromitterer deres personlige data. Virkningen af disse hændelser kan efterlade en negativ indvirkning på brugerne i tilfælde af benægtelse. Der er ingen juridisk forpligtelse for disse virksomheder til at advare brugere og regulatorer om sådanne hændelser. Det betragtes dog som en moralsk praksis at informere brugerne om det samme.