Monster.com innrømmer tredjeparts server eksponert tusenvis av CV

Monster Data Brudd

Monster.com er et populært sysselsettingsnettsted som inneholder en enorm database med CVer. Plattformen er klarert av milliarder mennesker over hele verden. Imidlertid ser det ut til at slike store rekrutteringssteder er jevnt utsatt for datainnbrudd.

Nylig sikkerhetsforsker fikk øye på et sårbarhet på en webserver som inneholdt CV-en til mange. Dessverre var Monster.com en av de plattformene som ble berørt som et resultat av denne sårbarheten. Rapportene antyder at serveren hadde CV av arbeidssøkere mellom 2014 og 2017. Det er åpenbart at den eksponerte serveren lekket noen viktig informasjon relatert til de arbeidssøkende, inkludert adresser, telefonnumre, tidligere arbeidserfaring og e-postadresser.

Selv om Monster.com aldri samler innvandringsdetaljer, ble denne informasjonen også lekket i de utsatte filene. Myndighetene var raske til å ta nødvendige tiltak og fjernet den eksponerte serveren. Imidlertid kan de ondsinnede aktørene fremdeles få tilgang til disse CV-ene ved hjelp av cacher fra søkemotoren.

Ifølge Monster tilhørte denne serveren et tredjeparts rekrutteringsbyrå, og selskapet jobber ikke lenger med dem. Rekrutteringssiden nektet å dele noen detaljer relatert til rekrutteringsbyrået. Det verste med denne situasjonen er at Monster.com ikke informerte brukerne om datainnbruddet i utgangspunktet. Selskapet varslet brukerne etter at sikkerhetsforskeren rapporterte det.

Datasamlere bør varsle brukere om brudd

Vi er enige i det faktum at Monster ikke selv var involvert i bruddet på dataene. Likevel setter denne situasjonen alle arbeidsplattformene under spørsmål om deres databeskyttelsespraksis. Vi har sett mange eksempler der tredjeparter var involvert i å eksponere data.

Derfor er datainnsamlerne ansvarlige for å holde øye med rettighetene til tredjeparter som har tilgang til brukerdata. De må sørge for at tredjeparter overholder plattformens cybersikkerhetspolitikk. Privilegiene bør være begrenset til å passe deres rolle.

Med tanke på at Monster.com ikke varslet brukerne selv, bør slike selskaper varsle brukere om sikkerhetsbrudd som kompromitterer deres personlige data. Virkningen av disse hendelsene kan gi en negativ innvirkning på brukerne i tilfelle nektelse. Det er ingen juridisk forpliktelse for disse selskapene å varsle brukere og regulatorer om slike hendelser. Imidlertid betraktes det som en moralsk praksis å informere brukerne om det samme.