Monster Data Breach
Monster.com és un lloc web d’ocupació popular que conté una enorme base de dades de currículums. La plataforma és confiada per milers de milions de persones a tot el món. Tanmateix, sembla que els llocs de reclutament tan grans són uniformement susceptibles a les violacions de dades.
Recentment investigador de seguretat tacat una vulnerabilitat en un servidor web que contenia els currículums de molts. Malauradament, Monster.com va ser una d’aquestes plataformes afectades com a conseqüència d’aquesta vulnerabilitat. Els informes suggereixen que el servidor tenia currículums de sol·licitants d’ocupació entre el 2014 i el 2017. És obvi que el servidor exposat va filtrar alguna informació important relacionada amb aquells que sol·licitaven feina, incloses adreces, números de telèfon, experiència laboral anterior i adreces de correu electrònic.
Tot i que Monster.com mai no recopila detalls d’immigració, aquesta informació també es va filtrar als fitxers exposats. Les autoritats van prendre ràpidament les accions necessàries i van eliminar el servidor exposat. No obstant això, els actors maliciosos encara poden accedir a aquests currículums amb l'ajut de memòries cau del motor de cerca.
Segons Monster, aquest servidor pertanyia a una agència de contractació de tercers i l’empresa ja no treballa amb ells. El lloc de reclutament no va voler compartir cap detall relacionat amb l'agència de contractació. El pitjor d’aquesta situació és que, en primer lloc, Monster.com no va informar els usuaris sobre la violació de dades. La companyia va alertar els seus usuaris després que l'investigador de seguretat ho informés.
Els recopiladors de dades haurien d'alertar els usuaris sobre incompliments
Estem d'acord amb el fet que Monster no va participar en la violació de dades. Tot i això, aquesta situació posa en dubte totes les plataformes d’ocupació sobre les seves pràctiques de protecció de dades. Hem vist molts exemples en què tercers van participar en l’exposició de dades.
Per tant, els recopiladors de dades són responsables de vigilar els privilegis de tercers que tinguin accés a les dades dels usuaris. Han de garantir que tercers compleixin les polítiques de ciberseguretat de la plataforma. Els privilegis s’han de restringir perquè s’adaptin al seu paper.
Tenint en compte el fet que Monster.com no va alertar els usuaris en si mateixos, aquestes empreses haurien d’avisar els usuaris sobre incompliments de seguretat que comprometin les seves dades personals. L'impacte d'aquests incidents pot deixar un impacte negatiu en els usuaris en cas de denegació. Aquestes empreses no tenen cap obligació legal d’avisar els usuaris i els reguladors sobre aquests incidents. Tot i això, es considera una pràctica moral informar els usuaris sobre el mateix.
Etiquetes incompliment de dades
