报道:英国招聘公司泄露敏感申请人数据
公司名称和地点:总部位于英国的FastTrackReflectionReciption公司(现为TeamResourceingLtd的一部分)。
大小:5GB数据泄露,21000暴露文件。
数据存储格式:AWSS3桶。
受影响的国家:主要影响英国公民,虽然有些人来自欧洲、西亚和美国。
Planetresearch网站的团队发现了一个配置错误的桶,该桶归该公司所有,以前名为FastTrackReflection(现在名为TeamBMS,是TeamResourceing的一部分),暴露了包含数千名求职者个人信息的简历。很多简历都附有申请人的个人身份证,包括护照、公民身份证、驾驶证、技术工人身份证。
泄露的客户数据在数据库中的文件中发现了几种文档格式,如。Pdf”和“该医生在此次违规事件中泄露的简历包含许多可以直接和间接识别申请人PII的例子。
简历上可直接识别的个人身份号码包括:
全名电子邮件地址S3手机号码家庭住址3部分申请人的社交网络网址(如Linkedin、脸书、Twitter)。
在泄露的简历中也可以找到可间接识别的个人身份号码的例子,例如:
教育/专业信息个人爱好/兴趣
附在许多简历上的个人ID包含申请人PII的其他样本。很多原始简历里找不到的细节包括:
出生日期护照号码申请人照片
FastTrack将申请人的数据存储在AWSS3Bucket上,AWS S3 bucket是一个公共云存储资源,可以从AmazonWebServices租用。但是,服务器的配置不是亚马逊的责任。
相当于5GB数据的21000个客户端文件(包括拷贝)在FastTrack的存储桶中不受保护。这些文件属于与全英国的品牌和组织合作的人。
泄露的敏感客户数据可能被黑客用于各种犯罪活动。以下是泄露简历和个人身份证的例子。
我们能看到的最新文件来自2020年2月。在尝试通过FastTrack的网站申请工作后,服务器上没有出现新的记录。鉴于最近FastTrack的合并,人们认为服务器被发现时并不是实时的,也没有定期更新。
成千上万的人可能会受到影响。数据库中存储了大量的简历和身份证。即使每个申请人都要上传一份简历和一个ID,也会有一万多人受到影响。我们不知道cv与id的确切比例,尽管人们认为存储在数据库中的cv比id多。其他联系人的信息(如专业推荐人)也可能被暴露。
FastTrack主要与位于英国的公司合作,几名外国公民卷入了这起违规事件。然而,这些国民很可能是英国居民,我们不知道FastTrackReflection的任何国际业务。
由于此次曝光,FastTrack可能会受到GDPR和英国“2018数据保护法案”的立法行动。
FastTrackReflection是一家专注于楼宇管理系统(BMS)行业的招聘公司。20211年底,FastTrackReflection招聘公司(现称“TeamBMS”)与姊妹公司“TeamSales”合并。合并的公司归EmpresariaGroupPLC所有,名为TeamResourceing,其部门之一是“TeamBMS”。
FastTrack Recruitment是一家企业对企业的公司,为英国各地的大型项目购买了BMS人才。FastTrack(或TeamBMS)主要与英国公民合作,我们不知道该公司是否在国际层面运作。来自欧洲、西亚和美国的公民的记录可以在FastTrack服务器上找到,尽管这些外国公民中的许多人可能居住在英国。
CV已经从这个族群中鉴定出来了。其中一些包括护照,驾驶执照和技术工人证书。在FastTrack的数据库中发现了在不同国家发布的几种不同类型的个人id。
谁泄露了数据?fast track Reflection Recovery Recovery,现为TeamBMS,在楼宇管理系统行业拥有20多年的招聘经验。
FastTrack为楼宇管理系统的设计、调试和服务提供便利。总部位于英国西萨塞克斯郡的FastTrack已被用于英国世界著名的建筑项目等。
FastTrack为Bishop 22、Fenchurch Street 20和Shade等摩天大楼提供招聘,更不用说体育场(温布利和奥林匹克体育场)、旅游码头(希思罗5号航站楼和Crossrail)和其他私人项目(白城、阿斯利康和巴特西电站)。
此数据泄漏可能是由FastTrackReflectIT团队/服务提供商的人为错误造成的。Amazon不负责FastTrack数据库的配置,也不负责此次数据泄露。
对申请人的影响虽然FastTrack的AWSS3桶没有保护,不安全,但我们无从得知是否有不法黑客找到了开放桶,下载、泄露或分发了FastTrack的任何客户数据。
但是,如果您暴露了,请注意黑客可能已经访问了服务器。黑客可以使用您的个人数据进行许多不同的犯罪活动。
地址欺诈、身份盗窃、身份盗窃和欺诈-姓名、地址、电子邮件、电话号码和个人详细信息(如个人教育和专业信息)可被黑客用来识别相关受害者-获得帐户访问权限,与受害者的同事建立信任,或通过跨多个平台的欺诈性攻击锁定这些受害者。例如,通过姓名和地址,黑客可以将您的邮政地址更改为他们选择的位置,截获银行收据和财务电子邮件,并使用这些详细信息从您的帐户订购支票和新信用卡。欺诈、网络钓鱼和恶意软件-犯罪分子可以通过电子邮件或电话联系受害者,以建立对其个人信息的信任。在电话中,这些犯罪分子可能会试图骗取受害者的金钱,或者找到可能使他们从事其他犯罪活动的信息。通过电子邮件,犯罪分子可以诱使人们点击一个链接,恶意网络钓鱼和恶意软件可以从该链接下载到受害者的设备上。企业间谍活动-其他公司可能会发现FastTrack的客户名单,并试图从FastTrack那里打探他们的信息,或者了解FastTrack如何开展业务。盗窃-个人信息,尤其是家庭住址,可能会被用来对付实施盗窃或抢劫的快速通道客户的家人。
数据隐私法FastTrack的业务面向全英国的个人。虽然我们不知道FastTrack可能遵守的所有法律,但可以想象FastTrack会受到政府的审查。快速通道因其对欧盟公民的影响而违反了GDPR法律。无论欧盟公民的数据在世界的哪个地方被错误处理,GDPR都会施加影响。GDPR认为,公司需要安全地处理数据,并采取技术和组织措施。违反GDPR的最高处罚是约2000万欧元的罚款,或相关公司年营业额的4%(以较高者为准)。
自脱欧以来,英国以“2018数据保护法”的形式保留了GDPR法律。根据该法案,最高罚款约为2000万欧元,或公司年营业额的4%(以较高者为准)。FastTrack未能报告其违规行为,因此可能面临654.38+00万欧元的罚款,或其年营业额的2%。
业务损失这种数据泄露还可能损害FastTrack的声誉,导致“负面宣传”,减少愿意与FastTrack做生意的公司和客户。
由于未能妥善保护其客户的数据,FastTrack将这些人置于犯罪活动的风险之中。FastTrack与其客户之间存在信任断裂的因素,客户可能会将其业务转移到其他招聘公司。
竞争间谍FastTrack的竞争对手可以看到泄露的客户名单。这些竞争对手可以联系FastTrack的客户,从FastTrack那里撬走这项业务。
伪装成客户或商业成员的竞争对手可以联系FastTrack(现在的TeamBMS)。在通过客户信息和个人数据建立信任后,黑客可以了解更多有关FastTrack业务运营的信息。
数据泄露的状况所有暴露的数据都是准确的,并且与FastTrackReflection(现在叫TeamBMS)招募的客户有关。这次曝光发现的所有记录都属于真人。
2020年2月29日发现泄露+65438。经过几天的研究,我们发现这个桶属于FasTrackReflection。
202165438+10月12和15联系了FastTrackReflection关于曝光信息,3月20265438+3月1联系了TeamResourceing。在多次尝试联系该公司后,主持人