Monster.com thừa nhận máy chủ của bên thứ ba có hàng nghìn hồ sơ xin việc

Monster.com là một trang web tuyển dụng phổ biến có chứa một cơ sở dữ liệu hồ sơ xin việc khổng lồ. Nền tảng được hàng tỷ người trên thế giới tin dùng. Tuy nhiên, có vẻ như các trang web tuyển dụng lớn như vậy đều dễ bị vi phạm dữ liệu.

Gần đây, một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong một máy chủ web chứa hồ sơ của nhiều người. Thật không may, Monster.com là một trong những nền tảng bị ảnh hưởng do lỗ hổng này. Các báo cáo cho thấy rằng máy chủ đã có hồ sơ của những người tìm việc từ năm 2014 đến năm 2017. Rõ ràng là máy chủ bị lộ đã làm rò rỉ một số thông tin quan trọng liên quan đến những người tìm việc đó bao gồm địa chỉ, số điện thoại, kinh nghiệm làm việc trong quá khứ và địa chỉ email.

Mặc dù Monster.com không bao giờ thu thập thông tin chi tiết về nhập cư, nhưng thông tin này cũng đã bị rò rỉ trong các tệp bị lộ. Các nhà chức trách đã nhanh chóng thực hiện các hành động cần thiết và gỡ bỏ máy chủ bị lộ. Tuy nhiên, các tác nhân độc hại vẫn có thể truy cập các hồ sơ này với sự trợ giúp của bộ nhớ đệm của công cụ tìm kiếm.

Theo Monster, máy chủ này thuộc về một công ty tuyển dụng bên thứ ba và công ty không còn làm việc với họ nữa. Trang web tuyển dụng từ chối chia sẻ bất kỳ thông tin chi tiết nào liên quan đến cơ quan tuyển dụng. Điều tồi tệ nhất của tình huống này là Monster.com đã không thông báo cho người dùng về vi phạm dữ liệu ngay từ đầu. Công ty đã cảnh báo người dùng của mình sau khi nhà nghiên cứu bảo mật báo cáo.

Người thu thập dữ liệu nên cảnh báo người dùng về vi phạm

Chúng tôi đồng ý với thực tế là bản thân Monster không liên quan đến vụ vi phạm dữ liệu. Tuy nhiên, tình huống này khiến tất cả các nền tảng việc làm bị đặt câu hỏi về các phương pháp bảo vệ dữ liệu của họ. Chúng tôi đã thấy nhiều ví dụ trong đó các bên thứ ba tham gia vào việc tiết lộ dữ liệu.

Do đó, những người thu thập dữ liệu có trách nhiệm theo dõi các đặc quyền của bên thứ ba có quyền truy cập vào dữ liệu người dùng. Họ cần đảm bảo rằng các bên thứ ba tuân thủ các chính sách an ninh mạng của nền tảng. Các đặc quyền nên được hạn chế để phù hợp với vai trò của họ.

Xét đến thực tế là Monster.com không tự cảnh báo người dùng, các công ty như vậy nên cảnh báo người dùng về các vi phạm bảo mật làm ảnh hưởng đến dữ liệu cá nhân của họ. Tác động của những sự cố này có thể để lại tác động tiêu cực cho người dùng trong trường hợp bị từ chối. Các công ty này không có nghĩa vụ pháp lý phải cảnh báo cho người dùng và các cơ quan quản lý về những sự cố như vậy. Tuy nhiên, nó được coi là một thực hành đạo đức để thông báo cho người dùng về cùng một.