官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Security Affairs 网站披露,美国加州一家“劳动力创新 ” 公司 Prosperix 泄漏了近 25 万份文件,部分文件中包含大量求职者的个人敏感数据。
5 月 1 日,Cybernews 的安全研究人员发现了一个配置错误的亚马逊 AWS 存储桶,错误配置导致 Prosperix 大约 25 万个文件泄露,其中 42000 个文件包含求职者姓名、出生日期、职业历史、家庭地址、电话号码、电子邮件地址等高敏感数据。
安全研究人员称这些文件大部分是就业授权文件、驾驶执照、简历、填写的工作申请表、文凭证书和成绩单,其中一些甚至包括尿检和疫苗接种记录等在内的医疗记录。
潜在的安全风险
这样的数据泄露事件会给公司和受影响的求职者带来许多负面影响,研究人员指出如全名、出生日期、电子邮件、电话号码和家庭地址等个人敏感信息可以被攻击者用于身份盗窃、鱼叉式网络钓鱼攻击以及发起其它类型的欺诈活动。
网络攻击者已经掌握足够多的潜在受害者信息,可以滥用这些数据,成立虚假的招聘机构,进行诈骗。配置错误的亚马逊 AWS 存储桶可以追溯到 2017 年,被曝光的大部分就业授权文件和驾驶执照似乎都已过期了。研究人员警告称数据库暴露可能意味着,这些文件已经有相当长的时间可以被任何人使用。
Prosperix 应关注以下领域以降低安全风险:
加密:为现有 Amazon S3 桶设置默认的服务器端加密;
审计和记录:定期检查服务器访问日志;
员工培训:加强数据安全的知识和意识。
并非招聘平台首次数据泄漏
值得一提的是,这不是 Cybernews研究团队第一次偶然发现暴露在互联网上的求职者数据。2022 年,国际招聘平台 Jooble.org 因为没有保护号 470GB 的数据库,将自己和客户置于安全风险之中。
该数据库的大部分内容由不同招聘信息和公司搜索者组成,经过分析,研究人员发现数据库中包含了部分东欧求职者的数据信息。像这样的泄密事件很容易将求职者置于危险之中,因此求职者应该自学如何发现常见的求职相关诈骗技巧。例如,犯罪分子倾向于在申请过程的早期索要金钱、财务信息或详细的个人信息,有的还通过社交媒体聊天进行面试,并为该职位提供高得令人怀疑的薪水。
最后,建议求职者应该通过仔细查看公司的历史和在线情况来做好功课,通过官方渠道与公司联系。
文章来源:
https://securityaffairs.com/146935/security/prosperix-data-leak.html