Việc rò rỉ thông tin các nhân trong lúc tìm việc làm có thể dẫn đến nhiều sự việc đáng tiếc khác. Nhóm nghiên cứu của Cybernews đã phát hiện ra một vùng chứa lưu trữ Azure Blob được cấu hình sai với gần 26 triệu tệp dữ liệu, phần lớn là hồ sơ xin việc của người tìm việc tại Hoa Kỳ.

Nhóm nghiên cứu đã quy kết vùng chứa bị lộ là do TalentHook, một nhà sản xuất phần mềm theo dõi ứng viên, kết nối các phòng ban nhân sự với những cá nhân đang tìm việc. TalentHook thuộc sở hữu của Resource Edge, một nhà cung cấp giải pháp phần mềm có trụ sở tại bang Nevada, Hoa Kỳ.

“Thông tin cá nhân chi tiết trong sơ yếu lý lịch bị lộ cho phép kẻ tấn công thực hiện các chiến dịch lừa đảo có mục tiêu cao. Địa chỉ email và số điện thoại có thể được sử dụng trong email lừa đảo, lừa đảo qua tin nhắn SMS hoặc các lời mời làm việc gian lận, lừa cá nhân tiết lộ thông tin nhạy cảm như quét ID hoặc thông tin ngân hàng”, nhóm nghiên cứu Cybernews cho biết.

Dữ liệu của những người tìm việc nào đã bị lộ?

Hầu hết các tệp dữ liệu bị lộ qua vùng chứa được định cấu hình sai là CV, điều này không có gì ngạc nhiên khi thông tin ở đó là thông tin chi tiết thông thường mà bất kỳ người tìm việc nào cũng sẽ cung cấp, bao gồm: Họ và tên; Địa chỉ email; Số điện thoại; Trình độ học vấn; Chi tiết chuyên môn; Lịch sử làm việc…

Những kẻ xấu có thể khai thác thông tin chi tiết bị lộ cho các mục đích xấu, chẳng hạn như đánh cắp danh tính, gian lận hoặc mạo danh. Hơn nữa, kẻ tấn công có thể đóng giả là nhà tuyển dụng tiềm năng hoặc người quản lý tuyển dụng, yêu cầu thanh toán cho các đơn xin việc giả mạo, kiểm tra lý lịch hoặc chương trình đào tạo.

Ngoài ra, việc tiết lộ thông tin cá nhân như địa chỉ nhà riêng và số điện thoại làm tăng nguy cơ đánh cắp thông tin (doxxing), một hành vi mà thông tin cá nhân bị tiết lộ trực tuyến trái với ý muốn của họ. Trong những trường hợp nghiêm trọng, điều này có thể dẫn đến việc những kẻ xấu quấy rối hoặc đe dọa những người bị rò rỉ thông tin trực tuyến.

Để giảm thiểu những tổn thất có thể xảy ra, nhóm các chuyên gia đưa ra lời khuyên cho TalentHook nên:

Thay đổi các biện pháp kiểm soát quyền truy cập để hạn chế quyền truy cập công khai và bảo mật vùng chứa.

Cập nhật quyền để đảm bảo rằng chỉ những người dùng hoặc dịch vụ được ủy quyền mới có quyền truy cập cần thiết.

Theo dõi nhật ký truy cập để đánh giá xem vùng chứa có bị những kẻ xấu không được ủy quyền truy cập hay không.

Bật mã hóa phía máy chủ để bảo vệ dữ liệu khi lưu trữ.

Sử dụng giải pháp Microsoft Azure Key Vault để quản lý khóa mã hóa một cách an toàn.

Cân nhắc triển khai các biện pháp bảo mật tốt nhất, bao gồm kiểm tra thường xuyên, kiểm tra bảo mật tự động và đào tạo nhân viên.