Eine der größten Recruiting-Plattformen Europas hat vertrauliche Bewerberdaten monatelang ungeschützt in einem Cloud-Speicher zugänglich gemacht.
Eine Jobsuche soll neue Karrierechancen eröffnen und nicht die persönlichen Daten in falsche Hände geben. Genau das ist jedoch bei einer der führenden europäischen Rekrutierungsplattformen geschehen. Das Cybersecurity-Forschungsteam von Cybernews hat einen ungeschützten Google Cloud Storage (GCS) Bucket entdeckt, der über 1,1 Millionen Dateien der Talent-Pool-Plattform beWanted enthielt.
Umfang und Inhalt des Datenlecks
Das in Madrid beheimatete Unternehmen bewirbt sich als innovativer Vermittler zwischen Talenten und Arbeitgebern. Mit Niederlassungen in mehreren europäischen Ländern will die Plattform den Rekrutierungsprozess revolutionieren.
Die Sicherheitslücke legte eine erschreckende Menge an sensiblen Informationen offen: Lebensläufe mit vollständigen Namen, Kontaktdaten, Anschriften, Geburtsinformationen und sogar staatlichen Identifikationsnummern. Auch berufliche Werdegänge und Ausbildungshintergründe wurden preisgegeben – ein Datenschatz für potenzielle Identitätsdiebe.
Das Forschungsteam stuft diesen Vorfall, bei dem über eine Million Dateien betroffen sind – wobei jede Datei wahrscheinlich eine einzelne Person repräsentiert – als kritischen Sicherheitsvorfall für beWanted ein. Die Tatsache, dass die Daten mindestens sechs Monate lang exponiert waren, verschlimmert die Situation zusätzlich. Denn während dieser Zeit könnten bösartige Akteure, die ständig das Web nach ungeschützten Instanzen durchsuchen, die Daten bereits heruntergeladen haben.