Magyar dolgozók százezreinek adatai szivárogtak ki

Ragnar Volarus

Nagyon komoly biztonsági hibát szúrt ki két nagy álláskereső portál rendszerében is a HVG. Merthogy a Profession.hu és a Workania.hu felületén is könnyedén hozzáférhető volt az álláskeresőkre vonatkozó számos érzékeny információ. A két weboldalon összesen 300 ezer felhasználót érintett ez a biztonsági rés, mielőtt a Profession.hu leállította a hibáért felelősnek tartott promóciós kampányát.

A biztonsági kockázatot az jelenti, hogy látszólag semmilyen ellenőrzést nem végeznek, mikor egy új felhasználó munkaadóként regisztrál a profession.hu és workania.hu felületekre. Elég egy létrehozott email fiók, egy kitalált vállalkozásnév és egy a cégjegyzékből véletlenszerűen kiválasztott adószám, és percek alatt megvan a regisztráció. Innen pedig a munkavállalók teljes önéletrajzi adatbázisához hozzáfértek.

A Profession esetében az első két hétben ingyenes volt az említett Try&Buy promóciós kampány, majd ezt követően az ár már igen magas volt ahhoz, hogy a túl kíváncsi magánszemélyek így lophassanak adatot. A Workania viszont csak az álláskeresők elérhetőségét takarja el a felületén.

Persze az így hozzáférhető adatbázisban a Profession.hu-nál a munkavállalók keresztneve, valamint vezetéknevének első betűje található meg, valamint nyelvtudása, életkora, tapasztalata, munkahelye, a város ahol lakik és fizetési igénye is, de a HVG tapasztalatai szerint teljes névre keresve is kidobja a kereső a találatot, hiába csak egyetlen betű látható a vezetéknévből. A Workania.hu rendszere nem tartalmaz neveket, ugyanakkor itt sem nehéz a munkakereső beazonosítása.

Azonban megnyugodhatunk, egyáltalán nem mindennapos ez a hanyagság, nem ez a jellemző a hazai álláskereső oldalakra. A Monster.hu, a Cvonline.hu vagy a Jobline.hu is felveszi a kapcsolatot a regisztrálókkal, illetve cégadatbázisban is ellenőrzi a vállalkozás adatait, mielőtt elérhetővé teszi számára önéletrajz-adatbázisait.

Fotó: azevirodaja.hu

A két érintett cég viszont most nagyot hibázott, főleg annak tükrében, hogy ugye hónapok óta a GDPR az egyik legtöbbet használt szó a hétköznapokban. Elvégre az információik adatbázisba való felvételéhez a munkakeresők hozzájárulnak, de valószínűleg nincsenek annak tudatában, hogy ez az adatbázis lényegében nyilvánosan hozzáférhető. 

A Profession.hu nyilatkozatából kiderült, a probléma valószínűleg június 4-én indított Try&Buy kampányára vezethető vissza, amely a már korábban említett ingyenes próbaidőszakot tartalmazza. A megrendelés során a szolgáltatást igénybe vevő munkaadó elfogadja az ahhoz kapcsolódó szerződési feltételeket és adatkezelési tájékoztatót - ha tehát valaki nem valós adatokkal regisztrál, ahogy azt a HVG tette, az követ el visszaélést. A történtek dacára a vállalat a nyilatkozatban is hangsúlyozta, folyamatosan ellenőrzi a megrendelő cégeket. Mindenesetre a Profession.hu leállította a Try&Buy kampányát, és megkezdte az eset kivizsgálását, a jövő hétre pedig részletes tájékoztatást ígért.

Címkék: adathalász
https://tech.blogstar.hu/./pages/tech/contents/blog/54624/pics/lead_800x600.png
adathalász
Feliratkozás blogértesítőre

Ha mindennap szeretnél értesülni a legfrissebb bejegyzésekről, akkor iratkozz fel a blogértesítőre.

Feliratkozom

Hozzászólások

Ezeket a cikkeket olvastad már?