招聘平台 Prosperix 泄漏求职者敏感信息
2023-6-2 12:4:11 Author: www.freebuf.com(查看原文) 阅读量:23 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Security Affairs 网站披露,美国加州一家“劳动力创新 ” 公司 Prosperix 泄漏了近 25 万份文件,部分文件中包含大量求职者的个人敏感数据。1685678675_64796a5339d3a0c143197.png!small

5 月 1 日,Cybernews 的安全研究人员发现了一个配置错误的亚马逊 AWS 存储桶,错误配置导致 Prosperix 大约 25 万个文件泄露,其中 42000 个文件包含求职者姓名、出生日期、职业历史、家庭地址、电话号码、电子邮件地址等高敏感数据。

安全研究人员称这些文件大部分是就业授权文件、驾驶执照、简历、填写的工作申请表、文凭证书和成绩单,其中一些甚至包括尿检和疫苗接种记录等在内的医疗记录。

潜在的安全风险

这样的数据泄露事件会给公司和受影响的求职者带来许多负面影响,研究人员指出如全名、出生日期、电子邮件、电话号码和家庭地址等个人敏感信息可以被攻击者用于身份盗窃、鱼叉式网络钓鱼攻击以及发起其它类型的欺诈活动。

网络攻击者已经掌握足够多的潜在受害者信息,可以滥用这些数据,成立虚假的招聘机构,进行诈骗。配置错误的亚马逊 AWS 存储桶可以追溯到 2017 年,被曝光的大部分就业授权文件和驾驶执照似乎都已过期了。研究人员警告称数据库暴露可能意味着,这些文件已经有相当长的时间可以被任何人使用。

Prosperix 应关注以下领域以降低安全风险:

加密:为现有 Amazon S3 桶设置默认的服务器端加密;

审计和记录:定期检查服务器访问日志;

员工培训:加强数据安全的知识和意识。

并非招聘平台首次数据泄漏

值得一提的是,这不是 Cybernews研究团队第一次偶然发现暴露在互联网上的求职者数据。2022 年,国际招聘平台 Jooble.org 因为没有保护号 470GB 的数据库,将自己和客户置于安全风险之中。1685683881_64797ea96ffe003ae540c.png!small?1685683882862

该数据库的大部分内容由不同招聘信息和公司搜索者组成,经过分析,研究人员发现数据库中包含了部分东欧求职者的数据信息。像这样的泄密事件很容易将求职者置于危险之中,因此求职者应该自学如何发现常见的求职相关诈骗技巧。例如,犯罪分子倾向于在申请过程的早期索要金钱、财务信息或详细的个人信息,有的还通过社交媒体聊天进行面试,并为该职位提供高得令人怀疑的薪水。

最后,建议求职者应该通过仔细查看公司的历史和在线情况来做好功课,通过官方渠道与公司联系。

文章来源:

https://securityaffairs.com/146935/security/prosperix-data-leak.html


文章来源: https://www.freebuf.com/news/368275.html
如有侵权请联系:admin#unsafe.sh