在本文中,客户数据泄露是谁泄露了数据?数据泄露对应用程序状态的影响保护您的数据我们如何以及为什么报告数据泄露网站Planet是什么?
公司名称和地点:总部位于英国的FastTrack Reflection Reciption招聘公司(现为Team Resourceing Ltd.的一部分)。
Size:5GB的数据泄漏,21000个暴露文件。
数据存储格式:AWS S3存储桶。
受影响国家:主要影响英国公民,尽管一些人来自欧洲、西亚和美国。
网站Planet research团队发现了一个错误配置的水桶,该水桶由该公司所有,以前称为FastTrack Reflection(现在称为TeamBMS,作为TeamResourceing的一部分),暴露了包含数千名求职者个人信息的简历。许多简历都附有申请人的个人身份证,包括护照、公民身份证、驾照和技术工人身份证。
泄露的客户数据
在数据库中的文件中发现了几种文档格式,例如“。pdf“和”。医生在这起违规事件中泄露的简历中包含了许多直接和间接可识别申请人PII的例子。
简历上可直接识别的个人识别码示例包括:
Full names
电子邮件地址S3手机号码
Home AddressS3一些申请人(如Linkedin、Facebook和Twitter)的社交网络URL
泄露的简历上也可以找到可间接识别的个人识别码示例,例如:
教育/专业信息
个人爱好/兴趣
附在许多简历上的个人ID包含申请人PII的其他样本。仅在许多原始简历上找不到的细节包括:
出生日期
护照号码
申请人照片
FastTrack将申请人的数据存储在AWS S3 Bucket上,这是一种公共云存储资源,可从Amazon Web Services租用。不过,服务器的配置不是亚马逊的责任。
21000个客户端文件(包括副本),相当于5GB的数据,在FastTrack的存储桶中没有受到保护。这些文件属于FastTrack Reflection Reciption Reciption在英国各地与品牌和组织联系工作的人。
泄露的敏感客户数据可能被黑客用来进行广泛的犯罪活动。下面是泄露的简历和个人身份证的例子。
我们能看到的最新文件来自2020年2月,在尝试通过FastTrack的网站申请工作后,服务器上没有出现新记录。鉴于FastTrack最近的合并,人们认为在发现时,该服务器并不是实时的,也不是定期更新的。
成千上万的人可能会受到影响。数据库中存储了大量简历和ID,即使每个申请人都要上传一份简历和一份ID,也会有一万多人受到影响。我们不知道CVs与IDs的确切比例,尽管据认为数据库中存储的CV比IDs多。其他联系人的信息(如专业推荐人)也可能会被曝光。
FastTrack主要与位于英国境内的公司合作,几名外国公民与这一违规行为有关。尽管如此,这些国民很可能是英国居民,我们不知道FastTrack Reflection有任何国际业务。
由于此次曝光,FastTrack可能会收到GDPR和英国《2018年数据保护法》的立法行动。
FastTrack Reflection是一家专门从事楼宇管理系统(BMS)行业的招聘公司。2021 1月末,FastTrack Reflection招聘公司(现称为“TeamBMS”)与姐妹公司“TeamSales”合并。此次合并由Empresaria Group PLC所有,名称为TeamResourceing,其中一个部门是“TeamBMS”。
FastTrack招聘是一家企业对企业的公司,为英国各地的大型项目采购了BMS人才。FastTrack(或TeamBMS)主要与英国公民合作,我们不知道该公司是否在国际层面运营。欧洲、西亚和美国公民的记录都可以在FastTrack的服务器上找到,尽管这些外国公民中有很多可能居住在英国境内。
CV已从该民族组合中识别出来。其中一些包括护照、驾驶执照和技术工人证。在FastTrack的数据库中找到了在不同国家发布的几种不同类型的个人ID。
谁泄露了数据
FastTrack Reflection Recovery Recovery Recovering,现为TeamBMS,在建筑管理系统行业拥有20多年的招聘经验。
FastTrack为建筑管理系统的设计、调试和服务提供了便利。FastTrack总部位于英国西苏塞克斯,除其他外,英国的世界著名建筑项目都使用了FastTrack。
FastTrack已经为主教22号、芬丘奇街20号和沙德等摩天大楼提供招聘,更不用说体育场(温布利和奥林匹克体育场)、旅游航站楼(希思罗机场5号航站楼和Crossrail)以及其他私人项目(白城、阿斯利康和巴特西发电站)。
此数据泄漏可能是由于FastTrack Reflect IT团队/服务提供商的人为错误造成的。亚马逊不对FastTrack数据库的配置负责,也不应对此次数据泄露负责。
对申请人的影响
虽然FastTrack的AWS S3存储桶未受保护且不安全,但我们无法知道不道德的黑客是否找到了打开的存储桶,并下载、泄露或分发了FastTrack的任何客户数据。
但是,如果您有暴露的风险,请注意黑客可能已经访问了服务器。黑客可以利用你的个人数据进行多种不同的犯罪活动。
地址欺诈、身份盗窃
身份盗窃和欺诈——姓名、地址、电子邮件、电话号码和个人详细信息,如个人教育和专业信息,可被黑客用来确定相关受害者的身份——获取账户访问权,与受害者的同事建立信任,或者通过跨多个平台的欺诈性攻击来锁定这些受害者。例如,有了名字和地址,黑客可以将你的邮政地址更改为他们选择的位置,拦截银行收据和金融邮件,并使用这些详细信息从你的帐户订购支票和新信用卡。
诈骗、网络钓鱼和恶意软件——犯罪分子可以通过电子邮件或电话联系受害者,以建立对受害者个人信息的信任。在电话中,这些罪犯可能会试图骗取受害者的钱,或找到可能让他们进行其他犯罪活动的信息。通过电子邮件,犯罪分子可以说服人们点击一个链接——恶意网络钓鱼和恶意软件可以从该链接下载到受害者的设备上。
商业间谍活动——其他公司可能会发现FastTrack的客户名单,并试图从FastTrack那里撬开他们,或了解FastTrack如何开展业务的更多信息。
盗窃——个人信息,尤其是家庭地址,可用于针对有盗窃或抢劫行为的FastTrack客户的家庭。
数据隐私法
FastTrack的业务是与英国各地的个人进行的。虽然我们不知道FastTrack可能会遵守的所有法律,但可以想象的是,FastTrack将受到来自政府的审查。对于针对欧盟公民的影响,FastTrack违反了GDPR法律。无论欧盟公民的数据在世界何处被错误处理,GDPR都会强加自己。根据GDPR,公司需要安全地处理数据,并采取技术和组织措施。违反GDPR的最高处罚为2000万欧元左右的罚款,或相关公司年营业额的4%(以较高者为准)。
自离开欧盟以来,英国以《2018年数据保护法》的形式保留了GDPR法律。根据该法案,最高罚款额为2000万欧元左右,或公司年营业额的4%(以较高者为准)。FastTrack未能报告其违规行为,因此可能面临1000万欧元的罚款,或其年营业额的2%。
业务损失
此数据泄露还可能损害FastTrack的声誉,导致“不良宣传”,愿意与FastTrack开展业务的公司和客户减少。
由于未能妥善保护其客户的数据,FastTrack已将这些人置于犯罪活动的风险之中。FastTrack与其客户之间存在着信任断裂的因素,这些客户可能会转而把业务转移到其他招聘公司。
竞争性间谍活动
FastTrack的竞争对手可以看到泄露的客户名单。这些竞争对手可以联系FastTrack的客户,从FastTrack那里撬开这项业务。
FastTrack(现在的TeamBMS)可以被冒充客户或业务成员的竞争对手联系。在通过客户信息和个人数据建立信任后,黑客可以了解有关FastTrack业务运营的更多信息。
数据泄露的状态
所有暴露的数据都是准确的,并且与FastTrack Reflection招募(现在称为TeamBMS)的客户有关。在这次曝光中发现的所有记录都属于真人。
泄漏于2020年12月29日被发现。经过几天的研究,我们发现这个水桶属于FasTrack Reflection。
2021 1月12日和15日,我们联系了FastTrack Reflection关于曝光的信息,2021 3月1日,我们联系了TeamResourceing。几次试图联系公司后,主持人