Se ha encontrado en línea un servidor web expuesto que almacena hojas de vida de solicitantes de empleo, incluido el sitio de reclutamiento Monster.
El servidor contenía currículums y currículums vitae para solicitantes de empleo que abarcaron 2014 y 2017, muchos de los cuales incluían información privada como números de teléfono y domicilios, pero también direcciones de correo electrónico y la experiencia laboral previa de una persona.
De los documentos que revisamos, la mayoría de los usuarios se encontraban en los Estados Unidos.
No se sabe exactamente cuántos archivos estuvieron expuestos, pero se encontraron miles de currículums en una sola carpeta con fecha de mayo de 2017. Otros archivos encontrados en el servidor expuesto incluían documentación de inmigración para el trabajo, que Monster no recopila.
Una declaración de la compañía atribuida al director de privacidad de Monster, Michael Jones, dijo que el servidor era propiedad de un cliente de reclutamiento no identificado, con el que ya no funciona. Cuando se presionó, la compañía declinó nombrar al cliente de reclutamiento.
"El Equipo de Seguridad de Monster fue informado de una posible exposición y notificó a la compañía de reclutamiento sobre el problema", dijo la compañía, agregando que el servidor expuesto fue asegurado poco después de que se informara en agosto.
Aunque los datos ya no son accesibles directamente desde el servidor web expuesto, se pueden encontrar cientos de hojas de vida y otros documentos en los resultados almacenados en caché por los motores de búsqueda.
Pero Monster no advirtió a los usuarios de la exposición, y solo admitió que los datos del usuario fueron expuestos después de que el investigador de seguridad alertó a TechCrunch sobre el asunto.
"Los clientes que compran acceso a los datos de Monster – currículums y CV candidatos – se convierten en propietarios de los datos y son responsables de mantener su seguridad", dijo la compañía. "Debido a que los clientes son los propietarios de estos datos, son los únicos responsables de las notificaciones a las partes afectadas en caso de incumplimiento de la base de datos de un cliente".
Según las leyes locales de notificación de violación de datos, las empresas están obligadas a informar a los fiscales generales estatales dónde se ven afectados un gran número de usuarios en sus estados. Aunque Monster no está obligado a revelar la exposición a los reguladores, algunas compañías advierten de manera proactiva a sus usuarios incluso cuando hay terceros involucrados.
No es raro que las empresas adviertan a sus usuarios de una violación de terceros. A principios de este año, después de que los piratas informáticos desviaron millones de tarjetas de crédito del procesador de pagos externo American Medical Collection Agency, sus clientes, LabCorp y Quest Diagnostics, admitieron el lapso de seguridad.
Monster dijo que debido a que la exposición ocurrió en un sistema del cliente, Monster "no está en condiciones" de identificar o confirmar a los usuarios afectados.