Cloud-Panne eines Personalvermittlers legt 20.000 Lebensläufe und ID-Dokumente offen

Cyber Security News

Zehntausende von Arbeitssuchenden haben ihre persönlichen Daten durch einen falsch konfigurierten Cloud-Account preisgegeben, wie Forscher berichten.

Ein Team von Website Planet entdeckte das AWS S3-Bucket, das von FastTrack Reflex Recruitment, jetzt TeamBMS, ungeschützt und ungesichert gelassen wurde.

Die Firma ist offenbar auf die Rekrutierung von Mitarbeitern für die Gebäudemanagementbranche spezialisiert, unter anderem für die Wolkenkratzer 22 Bishopsgate und The Shard, das Wembley-Stadion und das Olympiastadion, das Heathrow Terminal 5 und die Crossrail-Stationen.

Der 5 GB große Fund enthielt 21.000 Dateien, darunter Lebensläufe mit persönlichen Informationen wie E-Mail-Adressen, vollständige Namen, Handynummern, Wohnadressen und URLs sozialer Netzwerke. Andere Details waren Geburtsdaten, Passnummern und Bewerberfotos, laut Website Planet.

Das Forschungsteam glaubt, dass der IT-Dienstleister von TeamBMS die Schuld an der Datenschutzpanne trägt.

Wenn die Daten von Bedrohungsakteuren gefunden werden, könnten sie für weitere Identitätsdiebstähle und Betrügereien sowie für Phishing-Angriffe verwendet werden, um weitere persönliche Daten zu stehlen oder Malware zu installieren.

Website Planet behauptete auch, dass die im Eimer enthaltenen Informationen für Unternehmensspionage oder für Einbrüche in die Häuser der Opfer hätten verwendet werden können.

Das Forschungsteam entdeckte das Leck am 29. Dezember letzten Jahres und wandte sich mehrmals an die Muttergesellschaft von TeamBMS, TeamResourcing, sowie an das britische CERT. Der Eimer wurde schließlich am 23. März gesichert.

Nicht nur diejenigen, die von dem Leck betroffen waren, sondern auch das Unternehmen selbst sollten in Zukunft auf verdächtige Aktivitäten achten, so Website Planet.

“FastTrack und alle anderen, die in diesen Verstoß verwickelt sind, sollten wachsam sein, wenn sie Anrufe von Parteien erhalten, die behaupten, Kunden oder Mitarbeiter zu sein. In diesem Fall müssen Unternehmen Strategien implementieren, um diese Personen sicher zu identifizieren”, hieß es.

“Es ist von entscheidender Bedeutung, dass FastTrack, wie auch alle anderen Unternehmen, die einem solchen Risiko ausgesetzt sind, strenge Sicherheitsmaßnahmen bei der Speicherung von Kundendaten implementieren. Unternehmen sollten einen Cybersecurity-Profi engagieren, um sicher zu sein, dass die Kundendaten angemessen geschützt sind.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com