Monster.com medger att tredjepartsserver exponerade tusentals CV
Monster.com är en populär sysselsättningswebbplats som innehåller en enorm databas med CV. Plattformen litar på miljarder människor runt om i världen. Det verkar dock som om sådana stora rekryteringssidor är jämnt mottagliga för dataintrång.
Nyligen upptäckte en säkerhetsforskare en sårbarhet på en webbserver som innehöll många CV. Tyvärr var Monster.com en av de plattformar som påverkades på grund av denna sårbarhet. Rapporterna tyder på att servern hade CV av arbetssökande mellan 2014 och 2017. Det är uppenbart att den exponerade servern läckt ut viktig information relaterad till dessa arbetssökande inklusive adresser, telefonnummer, tidigare arbetserfarenhet och e-postadresser.
Även om Monster.com aldrig samlar in invandringsinformation, läcktes denna information också i de exponerade filerna. Myndigheterna var snabba att vidta nödvändiga åtgärder och tog bort den exponerade servern. Men de skadliga aktörerna kan fortfarande få tillgång till dessa CV med hjälp av cacheminnet i sökmotorn.
Enligt Monster tillhörde denna server en rekryteringsbyrå från tredje part och företaget arbetar inte längre med dem. Rekryteringssidan nekade att dela med sig av detaljer relaterade till rekryteringsbyrån. Det värsta med denna situation är att Monster.com i första hand inte informerade användarna om dataintrånget. Företaget varnade sina användare efter att säkerhetsforskaren rapporterade det.
Datainsamlare bör varna användare om överträdelser
Vi håller med om att Monster själv inte var inblandad i dataintrånget. Ändå sätter denna situation alla sysselsättningsplattformar i fråga om deras dataskyddsrutiner. Vi har sett många exempel där tredje parter var inblandade i att exponera data.
Därför är datainsamlarna ansvariga för att hålla ett öga på behörigheter från tredje part som har tillgång till användardata. De måste se till att tredje part följer plattformens cybersäkerhetspolicy. Privilegierna bör begränsas för att passa deras roll.
Med tanke på att Monster.com inte varnade användarna själva, bör sådana företag varna användare om säkerhetsöverträdelser som äventyrar deras personliga data. Effekterna av dessa incidenter kan ge en negativ inverkan på användarna vid förnekelse. Det finns ingen rättslig skyldighet för dessa företag att varna användare och tillsynsmyndigheter om sådana incidenter. Det anses dock vara en moralisk praxis att informera användarna om detsamma.