Un chercheur en sécurité a découvert un serveur Web en ligne contenant les curriculum vitae des candidats du site de recrutement Monster.
Après une inspection plus approfondie, des CV et des CV de candidats à un emploi de 2014 à 2017 ont été trouvés sur le serveur. Beaucoup d'entre eux contenaient des informations privées telles que des numéros de téléphone, des adresses personnelles, des adresses e-mail et même des expériences professionnelles antérieures des candidats.
Pour le moment, on ne sait toujours pas combien de fichiers ont été exposés sur le serveur, mais pour mettre les choses en perspective, un seul fichier datant de mai 2017 contenait des milliers de CV. Outre les CV, des documents d'immigration pour le travail, que Monster ne collecte pas, ont également été découverts sur le serveur exposé.
Selon une déclaration du responsable de la confidentialité de Monster, Michael Jones, le serveur n'appartient pas à l'entreprise elle-même, mais à un client recruteur anonyme avec lequel l'entreprise ne travaille pas. Cependant, Monster n'a pas fourni le nom du client recruteur lorsque TechCrunch l'a pressé.
Serveur exposé
Une fois que Monster a été informé de la fuite de données, il a informé la société de recrutement du problème et le serveur exposé a été sécurisé.
Cependant, même si les données ne sont plus directement accessibles depuis le serveur exposé, des centaines de CV et autres documents soumis par les candidats à un emploi peuvent toujours être trouvés dans les résultats des moteurs de recherche mis en cache.
Agissant en tant que tiers, et non Monster, qui a exposé les données, la société n'a pas averti ses utilisateurs que leurs données avaient été exposées en ligne. En fait, la société a admis que les données des utilisateurs avaient été exposées après que le chercheur en sécurité qui a découvert le serveur en ait informé TechCrunch.
Monster a tenté d'échapper à sa responsabilité dans la fuite de données dans une déclaration, déclarant :
"Les clients qui achètent l'accès aux données Monster - CV et CV - deviennent propriétaires et sont responsables du maintien de leur sécurité. Étant donné que les clients sont les propriétaires de ces données, ils sont seuls responsables des notifications aux parties concernées en cas de violation de la base de données clients. "
Bien que Monster ne soit pas tenu de signaler les fuites de données aux régulateurs, d'autres sociétés ont commencé à alerter de manière proactive leurs utilisateurs lorsque des tiers sont impliqués.
Via TechCrunch