Penyelidik keselamatan telah menemui pangkalan data perekrutan yang tidak konfigurasi yang membocorkan hampir 26 juta fail, dengan pakar keselamatan memberi amaran bahawa insiden semacam ini menjadi semakin kerap.

Menurut laporan dari Cybernews , Talenthook -platform pengesanan pemohon dalam talian yang menghubungkan jabatan HR dengan pencari kerja -telah meninggalkan bekas penyimpanan Azure Blob yang tidak dapat dikonfigurasi dan boleh diakses secara terbuka.

Akibatnya, resume berjuta -juta warga AS terdedah, termasuk nama penuh, alamat e -mel, nombor telefon, latar belakang pendidikan, kelayakan profesional, dan sejarah pekerjaan.

"Tahap perincian peribadi yang terkandung dalam resume terdedah ini menjadikannya sesuai untuk serangan phishing yang sangat disasarkan," kata pasukan CyberNews.

"Alamat e -mel dan nombor telefon boleh dieksploitasi dalam e -mel phishing, penipuan SMS, atau tawaran kerja palsu yang direka untuk menipu individu untuk mendedahkan data sensitif seperti imbasan ID atau maklumat bank."

Penyelidik memberi amaran bahawa data ini dapat membuktikan berharga bagi penjenayah siber yang mensasarkan pemburu pekerjaan. Dalam beberapa bulan kebelakangan ini, kumpulan seperti Kumpulan Lazarus yang disokong oleh negara Korea Utara secara khusus memberi tumpuan kepada pencari kerja.

Penyelidikan terdahulu tahun ini mendedahkan bagaimana kumpulan telah menggunakan platform seperti LinkedIn atau menyamar sebagai perekrut melalui e -mel dan WhatsApp untuk memikat mangsa.

Mengukuhkan amalan konfigurasi penyimpanan

Tim Mackey, ketua risiko rantaian bekalan perisian di Black Duck, berkata insiden ini menyoroti risiko serius yang berkaitan dengan kesilapan yang diabaikan dan menggesa perniagaan untuk memperbaiki proses pengurusan konfigurasi mereka.

"Sistem yang dikonfigurasikan, VM, bekas, mikroservis, dan pangkalan data bukan isu baru," katanya.

"Sebagai contoh, data sampel dari pelanggaran ini menunjukkan pengecam bertopeng seperti alamat e -mel dan nombor mudah alih, yang mencadangkan bidang tersebut tidak disulitkan atau API yang tidak selamat mungkin juga menyumbang kepada kebocoran."

Dray Agha, pengurus kanan operasi keselamatan di Huntress, menyokong pandangan Mackey, menekankan bahawa insiden seperti ini semakin rutin.

"Penyimpanan awan yang dikonfigurasikan -seperti bekas Azure yang terdedah dalam kes ini -membentuk masalah yang mengejutkan dan boleh dielakkan, terutamanya di kalangan organisasi yang mengendalikan data peribadi yang sensitif," kata Agha.

"Organisasi mesti menjalankan audit konfigurasi secara berkala, memohon dasar akses yang paling rendah, dan mengekalkan pemantauan berterusan untuk mencegah pendedahan besar-besaran maklumat peribadi."

Pasukan CyberNews menyatakan bahawa mereka telah menjangkau Talenthook dan menasihatkan syarikat untuk menyesuaikan tetapan akses untuk menyekat akses awam dan mengamankan bekas, sementara juga mengemaskini keizinan untuk memastikan hanya pengguna atau perkhidmatan yang diberi kuasa dapat mengakses data.

Pastikan anda mengikuti Php.cn di Google News untuk semua kemas kini terkini, analisis pakar, dan ulasan kami.

Atas ialah kandungan terperinci 26 juta CV telah didedahkan apabila firma perisian merekrut meninggalkan kontena Azure yang salah dibuka & ndash; Pakar keselamatan siber memberi amaran bahawa kesilapan mudah yang menjadi terlalu biasa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!