Inamin ng Monster.com ang Third-Party Server na Inilantad ang Libu-libong Mga Ipagpatuloy

Paglabag sa Data ng Halimaw

Ang Monster.com ay isang tanyag na website sa pagtatrabaho na naglalaman ng isang malaking database ng mga resume. Ang platform ay pinagkakatiwalaan ng bilyun-bilyong tao sa buong mundo. Gayunpaman, tila tulad ng mga malalaking site ng pangangalap ay pantay na madaling kapitan sa mga paglabag sa data.

Kamakailan lamang isang security researcher namataan isang kahinaan sa isang web server na naglalaman ng mga pagpapatuloy ng marami. Sa kasamaang palad, ang Monster.com ay isa sa mga platform na naapektuhan bilang isang resulta ng kahinaan na ito. Iminumungkahi ng mga ulat na ang server ay nagpatuloy sa mga naghahanap ng trabaho sa pagitan ng 2014 at 2017. Malinaw na ang nakalantad na server ay naglabas ng ilang mahahalagang impormasyon na nauugnay sa mga naghahanap ng trabaho kasama ang mga address, numero ng telepono, nakaraang karanasan sa trabaho, at mga email address.

Bagaman hindi kailanman kinokolekta ng Monster.com ang mga detalye sa imigrasyon, ang impormasyong ito ay naipalabas din sa mga nakalantad na file. Ang mga awtoridad ay mabilis na gumawa ng mga kinakailangang pagkilos at tinanggal ang nakalantad na server. Gayunpaman, maaari pa ring ma-access ng mga nakakahamak na aktor ang mga resume na ito sa tulong ng mga cache ng search engine.

Ayon kay Monster, ang server na ito ay kabilang sa isang ahensya ng pangangalap ng third-party at ang kumpanya ay hindi na nagtatrabaho sa kanila. Tumanggi ang site ng pangangalap na ibahagi ang anumang mga detalye na nauugnay sa ahensya ng pangangalap. Ang pinakapangit na bagay sa sitwasyong ito ay hindi sinabi ng Monster.com sa mga gumagamit tungkol sa paglabag sa data sa una. Inalerto ng kumpanya ang mga gumagamit nito matapos itong iulat ng security researcher.

Ang Mga Kolektor ng Data ay Dapat Mag-alerto sa Mga Gumagamit Tungkol sa Mga paglabag

Sumasang-ayon kami sa katotohanan na ang Monster ay mismong hindi kasangkot sa paglabag sa data. Gayunpaman, inilalagay ng sitwasyong ito ang lahat ng mga platform ng pagtatrabaho sa ilalim ng tanong tungkol sa kanilang mga kasanayan sa proteksyon ng data. Nakita namin ang maraming mga halimbawa kung saan ang mga third-party ay kasangkot sa paglantad ng data.

Samakatuwid, ang mga kolektor ng data ay responsable para sa pagbabantay sa mga pribilehiyo ng mga third-party na may access sa data ng gumagamit. Kailangan nilang tiyakin na ang mga ikatlong partido ay sumusunod sa mga patakaran sa cybersecurity ng platform. Ang mga pribilehiyo ay dapat na higpitan upang magkasya sa kanilang papel.

Isinasaalang-alang ang katotohanang hindi binalaan ng Monster.com ang mga gumagamit mismo, dapat na alertuhan ng mga nasabing kumpanya ang mga gumagamit tungkol sa mga paglabag sa seguridad na nakompromiso ang kanilang personal na data. Ang epekto ng mga pangyayaring ito ay maaaring mag-iwan ng negatibong epekto sa mga gumagamit kung sakaling tanggihan. Walang ligal na obligasyon sa mga kumpanyang ito na alerto ang mga gumagamit at regulator tungkol sa mga naturang insidente. Gayunpaman, ito ay itinuturing na isang moral na kasanayan upang ipaalam sa mga gumagamit tungkol sa pareho.