Eine Talentakquisitionsfirma aus New Jersey hat die Lebensläufe und persönlichen Daten von mindestens 30.000 potenziellen Arbeitnehmern offengelegt, indem sie eine Datenbank ohne Passwort im Internet hinterlassen hat.
Die Datenbank gehört Voto Consulting, einem Unternehmen aus Nordbraunschweig, das US-Jobs vor allem für indische IT-Experten vermittelt.
Es ist nicht genau bekannt, wie lange die Datenbank exponiert war, aber sie wurde erstmals am 10. Mai von Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, indiziert. Die Datenbank wurde von Anand Prakash, einem Sicherheitsforscher und Gründer von PingSafe AI, entdeckt. der Tech Details der Datenbank zur Verfügung gestellt hat.
Da die Datenbank jedoch ohne Passwort dem Internet zugänglich gemacht wurde, war es für jeden möglich, die Datenbank von einem Webbrowser aus zu durchsuchen.
Die Datenbank enthielt Namen, E-Mail-Adressen und Lebensläufe der Kandidaten – viele davon enthielten detaillierte Arbeitsverläufe sowie andere persönliche Informationen wie Wohnadressen, Telefonnummern und Geburtsdaten. In vielen Fällen enthüllten die Lebensläufe auch den Einwanderungsstatus der Kandidaten, z. B. ob sie ein Visum, eine Arbeitserlaubnis oder die Staatsbürgerschaft hatten, sowie Einzelheiten zu den Sicherheitsüberprüfungen einer Person, die für einige Stellen bei der US-Bundesregierung erforderlich sind. Obwohl das Vorhandensein einer Sicherheitsüberprüfung an sich nicht unbedingt ein Geheimnis sein muss, versuchen ausländische Regierungen seit langem, diejenigen mit Sicherheitsüberprüfungen auszunutzen und zu erpressen, um nachrichtendienstliche Erkenntnisse zu gewinnen.
Tech hat am 11. Mai Lynel Fernandes, Chief Executive von Voto, mit einem Link zu der exponierten Datenbank kontaktiert, aber wir haben weder eine Antwort gehört noch hat das Unternehmen die Datenbank sofort gesichert. (Eine Nachricht, die mit einem offenen Tracker gesendet wurde, zeigte, dass unsere E-Mail mehrmals geöffnet, aber ignoriert wurde.)
Nachdem Tech nichts gehört hatte, benachrichtigte er die New Jersey Cybersecurity and Communications Integration Celleine staatliche Regierungsbehörde, die mit dem Austausch von Informationen zur Cybersicherheit und der Meldung von Vorfällen beauftragt ist, erklärte sich bereit, Voto per E-Mail und Telefon über die exponierte Datenbank zu informieren.
Seit Dienstag, mehr als zwei Wochen später, ist die Datenbank offline. Zum Zeitpunkt der Sicherung war die Datenbank um mehr als das Fünffache gewachsen und enthielt insgesamt mehr als 170.000 Einträge.
Weiterlesen: