Hirviötietojen rikkominen
Monster.com on suosittu työllisyyssivusto, joka sisältää valtavan tietokannan ansioluetteloista. Alustaan luottavat miljardit ihmiset ympäri maailmaa. Näyttää kuitenkin siltä, että tällaiset suuret rekrytointisivustot ovat tasaisesti alttiita tietoturvaloukkauksille.
Äskettäin turvallisuustutkija täplikäs verkkopalvelimen heikkous, joka sisälsi monien jatkamisen. Valitettavasti Monster.com oli yksi niistä alustoista, joihin tämä haavoittuvuus vaikutti. Raportit viittaavat siihen, että palvelimella oli uudelleen työnhakijoita vuosina 2014--2017. On selvää, että paljastettu palvelin vuotaa joitain tärkeitä tietoja työnhakijoista, mukaan lukien osoitteet, puhelinnumerot, aiemmat työkokemukset ja sähköpostiosoitteet.
Vaikka Monster.com ei koskaan kerää maahanmuuttotietoja, nämä tiedot vuotivat myös paljastetuissa tiedostoissa. Viranomaiset ryhtyivät nopeasti tarvittaviin toimiin ja poistivat altistuneen palvelimen. Haitalliset toimijat voivat kuitenkin edelleen käyttää näitä ansioluetteloita hakukoneen välimuistien avulla.
Monsterin mukaan tämä palvelin kuului kolmannen osapuolen rekrytointitoimistoon, eikä yritys enää työskentele heidän kanssaan. Rekrytointisivusto kieltäytyi jakamasta rekrytointitoimistoon liittyviä yksityiskohtia. Pahinta tässä tilanteessa on, että Monster.com ei ensinnäkään ilmoittanut käyttäjille tietorikkomuksesta. Yhtiö ilmoitti käyttäjilleen, kun tietoturvatutkija ilmoitti siitä.
Tiedonkerääjien tulisi ilmoittaa käyttäjille rikkomuksista
Olemme samaa mieltä siitä, että Monster ei itse ollut osallisena tietorikkomuksessa. Silti tämä tilanne asettaa kyseenalaiseksi kaikki työllisyysalustat heidän tietosuojakäytännöistään. Olemme nähneet monia esimerkkejä, joissa kolmannet osapuolet olivat mukana tietojen paljastamisessa.
Siksi tiedonkerääjät ovat vastuussa käyttäjien kolmansien osapuolten etuoikeuksien valvomisesta. Heidän on varmistettava, että kolmannet osapuolet noudattavat alustan kyberturvallisuuskäytäntöjä. Oikeudet olisi rajoitettava vastaamaan heidän rooliaan.
Ottaen huomioon tosiasian, että Monster.com ei varoittanut itse käyttäjiä, tällaisten yritysten tulisi varoittaa käyttäjiä heidän henkilötietojaan vaarantavista tietoturvaloukkauksista. Näiden tapahtumien vaikutus voi jättää kielteisen vaikutuksen käyttäjiin kieltämisen yhteydessä. Näillä yrityksillä ei ole oikeudellista velvoitetta varoittaa käyttäjiä ja sääntelyviranomaisia tällaisista tapauksista. Moraalisena käytäntönä pidetään kuitenkin käyttäjien ilmoittamista samasta.
Tunnisteet tietovuoto
