一家科技招聘公司被曝出数据泄露,约21.6万人的个人信息遭到暴露,其中包括部分社会安全号码、电子邮件地址和签证状态。
数据暴露范围广,信息安全漏洞严重
据安全研究员Jeremiah Fowler称,他发现一家科技招聘公司Alltech Consulting Services的数据库中包含了大约21.6万名求职者的个人信息,包括姓名、电话号码、护照号码、签证信息以及部分社会安全号码。
Fowler表示,他并不知道这些数据暴露了多久,但他在9月份联系了Alltech后,该数据库很快就被锁定。但他表示,总部位于新泽西州的Alltech Consulting Services从未回复过他的通知。
Fowler在周一发布了他的安全报告,指出Alltech没有设置密码,将包含求职者信息的数据库暴露在无保护状态下。这导致约21.6万名科技求职者的个人信息暴露无遗。Fowler表示,由于数据库没有设置任何安全措施,任何试图窃取身份的人都不需要黑入Alltech的数据库,甚至不需要费力寻找,就能获得这些信息。
Alltech在其网站上表示,超过1000家公司依靠其服务来连接他们与科技专业人士。Business Insider无法独立验证这一点。BI还通过拨打其主要电话号码、向其高管发送直接的LinkedIn消息以及发送其主要电子邮件地址的方式联系了该公司。
当通过其公开的电子邮件和电话号码联系时,Alltech没有回复BI的评论请求。两名Alltech高管,在LinkedIn上被列为公司所有者和副总裁,在直接消息中告诉Business Insider,他们没有意识到任何不安全的数据或违规行为。
信息泄露风险巨大,可能导致身份盗窃
Fowler表示,暴露的数据包括电子邮件地址、护照号码、社会安全号码的后四位以及工作签证信息。“这些记录还包含关于他们的经验、资格以及他们正在寻找的工作类型的内部记录,”Fowler说。
Business Insider已经审查了Fowler在9月10日发送给三个Alltech电子邮件地址的消息,其中披露了未受保护的数据。Fowler之前曾发现过英国火车站的WiFi提供商、一家被超过5000个美国学区使用的软件公司和一家虚拟医疗服务提供商等公司的网络安全问题。
前特勤局特工、图尔萨大学网络研究实践副教授Justin Miller告诉Business Insider,将数据库暴露在没有密码或任何加密的情况下意味着“任何人都可以潜在地访问数据库。”不过,目前尚不清楚是否有其他未经授权的人访问了Alltech的数据。
Miller和Fowler表示,数据库中暴露的信息类型,包括社会安全号码的后四位,可能使网络犯罪分子冒充个人。
“你正在面临身份盗窃,”Miller说。“姓名、工作经历、签证状态、护照号码,甚至部分社会安全号码等信息,可以让不法分子拼凑出足够的信息来盗取身份并创建虚假资料。”
数据安全至关重要,企业需加强保护
Fowler补充说,像Alltech这样的事件——以及他调查的其他事件——突出了公司保护其数据的重要性。
“这也提醒了行业,需要审查其数据安全实践并识别漏洞,以保护其内部系统以及他们所服务个人的个人信息,”Fowler说。
Alltech的网站称,该公司成立于1998年。目前尚不清楚Alltech为何收集求职者的社会安全号码或护照信息。Fowler表示,求职者应该“怀疑”那些要求提供个人信息作为申请工作条件的招聘人员。
原创文章,作者:讯知在线,如若转载,请注明出处:http://mip.xzxci.cn/2024/11/14/13998.shtml
