公司名稱和地點:總部位於英國的FastTrackReflectionReciption公司(現為TeamResourceingLtd的壹部分)。
大小:5GB數據泄露,21000暴露文件。
數據存儲格式:AWSS3桶。
受影響的國家:主要影響英國公民,雖然有些人來自歐洲、西亞和美國。
Planetresearch網站的團隊發現了壹個配置錯誤的桶,該桶歸該公司所有,以前名為FastTrackReflection(現在名為TeamBMS,是TeamResourceing的壹部分),暴露了包含數千名求職者個人信息的簡歷。很多簡歷都附有申請人的個人身份證,包括護照、公民身份證、駕駛證、技術工人身份證。
泄露的客戶數據在數據庫中的文件中發現了幾種文檔格式,如。Pdf”和“該醫生在此次違規事件中泄露的簡歷包含許多可以直接和間接識別申請人PII的例子。
簡歷上可直接識別的個人身份號碼包括:
全名電子郵件地址S3手機號碼家庭住址3部分申請人的社交網絡網址(如Linkedin、臉書、Twitter)。
在泄露的簡歷中也可以找到可間接識別的個人身份號碼的例子,例如:
教育/專業信息個人愛好/興趣
附在許多簡歷上的個人ID包含申請人PII的其他樣本。很多原始簡歷裏找不到的細節包括:
出生日期護照號碼申請人照片
FastTrack將申請人的數據存儲在AWSS3Bucket上,AWS S3 bucket是壹個公共雲存儲資源,可以從AmazonWebServices租用。但是,服務器的配置不是亞馬遜的責任。
相當於5GB數據的21000個客戶端文件(包括拷貝)在FastTrack的存儲桶中不受保護。這些文件屬於與全英國的品牌和組織合作的人。
泄露的敏感客戶數據可能被黑客用於各種犯罪活動。以下是泄露簡歷和個人身份證的例子。
我們能看到的最新文件來自2020年2月。在嘗試通過FastTrack的網站申請工作後,服務器上沒有出現新的記錄。鑒於最近FastTrack的合並,人們認為服務器被發現時並不是實時的,也沒有定期更新。
成千上萬的人可能會受到影響。數據庫中存儲了大量的簡歷和身份證。即使每個申請人都要上傳壹份簡歷和壹個ID,也會有壹萬多人受到影響。我們不知道cv與id的確切比例,盡管人們認為存儲在數據庫中的cv比id多。其他聯系人的信息(如專業推薦人)也可能被暴露。
FastTrack主要與位於英國的公司合作,幾名外國公民卷入了這起違規事件。然而,這些國民很可能是英國居民,我們不知道FastTrackReflection的任何國際業務。
由於此次曝光,FastTrack可能會受到GDPR和英國“2018數據保護法案”的立法行動。
FastTrackReflection是壹家專註於樓宇管理系統(BMS)行業的招聘公司。20211年底,FastTrackReflection招聘公司(現稱“TeamBMS”)與姊妹公司“TeamSales”合並。合並的公司歸EmpresariaGroupPLC所有,名為TeamResourceing,其部門之壹是“TeamBMS”。
FastTrack Recruitment是壹家企業對企業的公司,為英國各地的大型項目購買了BMS人才。FastTrack(或TeamBMS)主要與英國公民合作,我們不知道該公司是否在國際層面運作。來自歐洲、西亞和美國的公民的記錄可以在FastTrack服務器上找到,盡管這些外國公民中的許多人可能居住在英國。
CV已經從這個族群中鑒定出來了。其中壹些包括護照,駕駛執照和技術工人證書。在FastTrack的數據庫中發現了在不同國家發布的幾種不同類型的個人id。
誰泄露了數據?fast track Reflection Recovery Recovery,現為TeamBMS,在樓宇管理系統行業擁有20多年的招聘經驗。
FastTrack為樓宇管理系統的設計、調試和服務提供便利。總部位於英國西薩塞克斯郡的FastTrack已被用於英國世界著名的建築項目等。
FastTrack為Bishop 22、Fenchurch Street 20和Shade等摩天大樓提供招聘,更不用說體育場(溫布利和奧林匹克體育場)、旅遊碼頭(希思羅5號航站樓和Crossrail)和其他私人項目(白城、阿斯利康和巴特西電站)。
此數據泄漏可能是由FastTrackReflectIT團隊/服務提供商的人為錯誤造成的。Amazon不負責FastTrack數據庫的配置,也不負責此次數據泄露。
對申請人的影響雖然FastTrack的AWSS3桶沒有保護,不安全,但我們無從得知是否有不法黑客找到了開放桶,下載、泄露或分發了FastTrack的任何客戶數據。
但是,如果您暴露了,請註意黑客可能已經訪問了服務器。黑客可以使用您的個人數據進行許多不同的犯罪活動。
地址欺詐、身份盜竊、身份盜竊和欺詐-姓名、地址、電子郵件、電話號碼和個人詳細信息(如個人教育和專業信息)可被黑客用來識別相關受害者-獲得帳戶訪問權限,與受害者的同事建立信任,或通過跨多個平臺的欺詐性攻擊鎖定這些受害者。例如,通過姓名和地址,黑客可以將您的郵政地址更改為他們選擇的位置,截獲銀行收據和財務電子郵件,並使用這些詳細信息從您的帳戶訂購支票和新信用卡。欺詐、網絡釣魚和惡意軟件-犯罪分子可以通過電子郵件或電話聯系受害者,以建立對其個人信息的信任。在電話中,這些犯罪分子可能會試圖騙取受害者的金錢,或者找到可能使他們從事其他犯罪活動的信息。通過電子郵件,犯罪分子可以誘使人們點擊壹個鏈接,惡意網絡釣魚和惡意軟件可以從該鏈接下載到受害者的設備上。企業間諜活動-其他公司可能會發現FastTrack的客戶名單,並試圖從FastTrack那裏打探他們的信息,或者了解FastTrack如何開展業務。盜竊-個人信息,尤其是家庭住址,可能會被用來對付實施盜竊或搶劫的快速通道客戶的家人。
數據隱私法FastTrack的業務面向全英國的個人。雖然我們不知道FastTrack可能遵守的所有法律,但可以想象FastTrack會受到政府的審查。快速通道因其對歐盟公民的影響而違反了GDPR法律。無論歐盟公民的數據在世界的哪個地方被錯誤處理,GDPR都會施加影響。GDPR認為,公司需要安全地處理數據,並采取技術和組織措施。違反GDPR的最高處罰是約2000萬歐元的罰款,或相關公司年營業額的4%(以較高者為準)。
自脫歐以來,英國以“2018數據保護法”的形式保留了GDPR法律。根據該法案,最高罰款約為2000萬歐元,或公司年營業額的4%(以較高者為準)。FastTrack未能報告其違規行為,因此可能面臨654.38+00萬歐元的罰款,或其年營業額的2%。
業務損失這種數據泄露還可能損害FastTrack的聲譽,導致“負面宣傳”,減少願意與FastTrack做生意的公司和客戶。
由於未能妥善保護其客戶的數據,FastTrack將這些人置於犯罪活動的風險之中。FastTrack與其客戶之間存在信任斷裂的因素,客戶可能會將其業務轉移到其他招聘公司。
競爭間諜FastTrack的競爭對手可以看到泄露的客戶名單。這些競爭對手可以聯系FastTrack的客戶,從FastTrack那裏撬走這項業務。
偽裝成客戶或商業成員的競爭對手可以聯系FastTrack(現在的TeamBMS)。在通過客戶信息和個人數據建立信任後,黑客可以了解更多有關FastTrack業務運營的信息。
數據泄露的狀況所有暴露的數據都是準確的,並且與FastTrackReflection(現在叫TeamBMS)招募的客戶有關。這次曝光發現的所有記錄都屬於真人。
2020年2月29日發現泄露+65438。經過幾天的研究,我們發現這個桶屬於FasTrackReflection。
202165438+10月12和15聯系了FastTrackReflection關於曝光信息,3月20265438+3月1聯系了TeamResourceing。在多次嘗試聯系該公司後,主持人