Monster.com tunnistab kolmanda osapoole serveri tuhandeid jätkamisi

Koletise andmete rikkumine

Monster.com on populaarne tööhõive veebisait, mis sisaldab tohutut elulookirjelduste andmebaasi. Platvormi usaldavad miljardid inimesed kogu maailmas. Tundub siiski, et nii suured värbamissaidid on ühtlaselt vastuvõtlikud andmete rikkumisele.

Hiljuti turvauurija märgatud haavatavus veebiserveris, mis sisaldas paljude jätkamist. Kahjuks oli Monster.com üks neist platvormidest, mida see haavatavus mõjutas. Aruannete põhjal võib öelda, et ajavahemikus 2014–2017 oli server tööotsijate elulookirjeldus ilmne. On ilmne, et avatud server lekitas nende tööotsijatega seotud olulist teavet, sealhulgas aadressid, telefoninumbrid, varasemad töökogemused ja e-posti aadressid.

Kuigi Monster.com ei kogu kunagi sisserände üksikasju, lekkis see teave ka paljastatud failidesse. Ametivõimud tegid kiiresti vajalikud toimingud ja eemaldasid paljastatud serveri. Pahatahtlikud näitlejad saavad siiski nendele CV-dele juurde pääseda otsingumootori vahemälude abil.

Monsteri sõnul kuulus see server kolmanda osapoole värbamisagentuurile ja ettevõte ei tööta nendega enam. Värbamiskoht keeldus värbamisagentuuriga seotud üksikasju jagamast. Halvim asi selles olukorras on see, et Monster.com ei teavitanud kasutajaid kõigepealt andmerikkumisest. Ettevõte hoiatas oma kasutajaid pärast seda, kui turvauurija sellest teatas.

Andmekogujad peaksid kasutajaid rikkumistest teavitama

Nõustume tõsiasjaga, et Monster ise ei olnud andmete rikkumisega seotud. Siiski seab selline olukord kõik tööhõiveplatvormid kahtluse alla nende andmekaitsepraktika osas. Oleme näinud palju näiteid, kus andmete paljastamisel osalesid kolmandad isikud.

Seetõttu vastutavad andmekogujad kasutajate andmetele juurdepääsu omavate kolmandate osapoolte privileegidel silma peal hoidmise eest. Nad peavad tagama, et kolmandad isikud järgivad platvormi küberturvalisuse põhimõtteid. Privileegid peaksid olema piiratud nende rolliga.

Arvestades asjaolu, et Monster.com ei hoiatanud kasutajaid ise, peaksid sellised ettevõtted hoiatama kasutajaid nende isikuandmeid kahjustavate turvarikkumiste eest. Nende juhtumite mõju võib eitamise korral jätta kasutajatele negatiivse mõju. Nendel ettevõtetel ei ole seadusest tulenevat kohustust teavitada kasutajaid ja reguleerivaid asutusi sellistest juhtumitest. Siiski peetakse moraalseks tavaks kasutajate teavitamist samast.