-
Web服务器
【美国】Monster称第三方公开了用户数据,但没有告诉任何人
近日,网上发现了一个公开的网站服务器,该服务器存储求职者的简历,其中包括招聘网站Monster的简历。
该服务器包含2014年和2017年求职者的简历,其中许多包括电话号码和家庭住址等私人信息,还包括电子邮件地址和一个人以前的工作经验。
在我们审查的文件中,大多数用户位于美国。
目前还不知道有多少文件被暴露,但是在2017年5月的一个文件夹中发现了数千份简历。在暴露的服务器上找到的其他文件包括工作的移民文件,Monster没有收集。
Monster首席隐私官迈克尔·琼斯(Michael Jones)发布的公司声明称,该服务器由一位未具名的招聘客户所拥有,不再有效。被迫时,该公司拒绝透露招聘客户的姓名。
该公司表示,“怪物安全团队已经意识到可能存在暴露并向招募公司通报了这一问题。”他补充说,暴露的服务器在8月报告后不久就得到了保护。
虽然不再可以直接从公开的Web服务器访问数据,但在搜索引擎缓存的结果中可以找到数百份简历和其他文档。
但Monster没有警告用户这种暴露,并且只有在安全研究人员向TechCrunch提醒此事后才承认用户数据。
“购买Monster数据访问权限的客户 - 候选简历和简历 - 成为数据的所有者,并负责维护其安全性,”该公司表示。“由于客户是这些数据的所有者,因此他们全权负责在发生客户数据库泄露事件时向受影响方发出通知。”
根据当地数据泄露通知法,公司有义务通知州检察长,其州内的大量用户受到影响。虽然Monster没有义务披露监管机构的风险,但一些公司即使在涉及第三方时也会主动警告其用户。
公司警告其用户发生第三方违规行为的情况并不少见。今年早些时候,黑客从第三方支付处理器美国医疗收集机构获取数百万张信用卡后,其客户 - LabCorp和Quest Diagnostics - 承认安全失效。
Monster表示,由于曝光发生在客户系统上,因此Monster“无法”识别或确认受影响的用户。
以上由AI翻译,仅供参考!
作者:Zack Whittaker
文章、图片来源:https://techcrunch.com/2019/09/05/monster-exposed-user-data-years/
扫一扫 加微信
hrtechchina