新泽西州的一家人才招聘公司通过在互联网上留下一个没有密码的数据库,暴露了至少 30,000 名潜在员工的简历和个人信息。
该数据库属于北不伦瑞克省的一家公司 Voto Consulting,该公司主要为印度 IT 专业人士寻找美国工作。
目前尚不清楚该数据库暴露了多长时间,但它于 5 月 10 日首次被暴露设备和数据库的搜索引擎 Shodan 索引。该数据库由安全研究员兼 PingSafe AI 创始人 Anand Prakash 发现,谁向 TechCrunch 提供了数据库的详细信息。
但由于数据库在没有密码的情况下暴露在互联网上,任何人都可以从网络浏览器搜索数据库。
该数据库包含姓名、电子邮件地址和候选人的简历——其中许多包含详细的工作经历,以及其他个人信息,如家庭住址、电话号码和出生日期。在许多情况下,简历还会显示候选人的移民身份,例如他们是否拥有签证、工作许可或公民身份,以及某些美国联邦政府工作所需的个人安全许可的详细信息。尽管安全许可的存在本身不一定是秘密,但外国政府长期以来一直试图利用和勒索拥有安全许可的人以获取情报。
TechCrunch 于 5 月 11 日联系了 Voto 首席执行官 Lynel Fernandes,并提供了指向暴露数据库的链接,但我们没有收到回复,该公司也没有立即保护数据库。 (使用打开的跟踪器发送的一条消息显示我们的电子邮件被打开了多次但被忽略了。)
在没有收到回复后,TechCrunch 通知了负责网络安全信息共享和事件报告的州政府机构新泽西网络安全和通信集成小组,该小组同意通过电子邮件和电话通知 Voto 暴露的数据库。
两周后,该数据库自周二以来一直处于离线状态。在数据库得到保护时,它的大小增长了五倍多,总共列出了 170,000 多个条目。
阅读更多:
原文: https://techcrunch.com/2022/05/27/voto-resumes-clearances-exposed/