Données du demandeur d'emploi exposées dans une éventuelle violation de Monster.com

0
72

Un chercheur en sécurité a découvert un serveur Web exposé en ligne contenant des CV de demandeurs d’emploi du site de recrutement Monster.

Après une inspection plus poussée, les CV et les CV des candidats à l’emploi de 2014 à 2017 ont été trouvés sur le serveur. Nombre d’entre eux comprenaient des informations privées telles que numéros de téléphone, adresses personnelles, adresses de courrier électronique et même l'expérience de travail antérieure des candidats.

À l'heure actuelle, on ne sait toujours pas combien de fichiers ont été exposés sur le serveur, mais pour mettre les choses en perspective, un seul dossier datant de mai 2017 contenait des milliers de CV. En plus des CV, des documents d’immigration pour le travail, que Monster ne collecte pas, ont également été découverts sur le serveur exposé.

Selon une déclaration du responsable de la protection de la vie privée de Monster, Michael Jones, le serveur n'appartient pas à la société elle-même, mais à un client de recrutement non identifié avec lequel l'entreprise ne travaille plus. Cependant, Monster n’a pas fourni le nom du client du recrutement lorsque pressé par TechCrunch.

Serveur exposé

Une fois que Monster a été informé de la fuite de données, il a informé la société de recrutement du problème et le serveur exposé a été sécurisé.

Cependant, bien que les données ne soient plus directement accessibles depuis le serveur exposé, des centaines de CV et d’autres documents soumis par les demandeurs d’emploi peuvent toujours être trouvés dans les résultats mis en cache des moteurs de recherche.

S'agissant d'un tiers, et non de Monster, qui a exposé les données, la société n'a pas averti ses utilisateurs que leurs données avaient été exposées en ligne. En fait, la société a admis que les données utilisateur avaient été exposées après que le chercheur en sécurité qui a découvert le serveur en a informé TechCrunch de la matière.

Monster a tenté de se soustraire à la responsabilité de la fuite de données dans un communiqué, en déclarant:

«Les clients qui achètent l’accès aux données de Monster – CV et curriculum vitae des candidats – en deviennent les propriétaires et sont responsables du maintien de sa sécurité. Les clients étant les propriétaires de ces données, ils sont les seuls responsables des notifications adressées aux parties concernées en cas de violation de la base de données du client. "

Bien que Monster n’ait pas l’obligation de signaler la fuite de données aux autorités de réglementation, d’autres sociétés ont commencé à alerter de manière proactive leurs utilisateurs lorsque des tiers sont impliqués.

Via TechCrunch

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire