W 2023 roku wyciek danych w firmie Codecool, renomowanym centrum szkoleniowym z Krakowa, oraz w LTI Mindtree, partnerze odpowiedzialnym za wsparcie dla Azure Cloud Microsoftu, wywołał szerokie oburzenie i krytyczne opinie w kontekście procesu rekrutacji i praktyk bezpieczeństwa obu firm. Incydent ten podkreśla znaczenie dbałości o bezpieczeństwo danych osobowych w procesie rekrutacji, zwłaszcza w dobie rosnącej liczby naruszeń bezpieczeństwa. Wrażliwe dokumenty, takie jak curriculum vitae kandydatów, zostały nielegalnie udostępnione w internecie, co stanowiło poważne zagrożenie dla bezpieczeństwa informacji. Odkrycie wycieku za pomocą technik OSINT podniosło kluczowe pytania dotyczące praktyk bezpieczeństwa danych i wykorzystania publicznie dostępnych źródeł informacji w procesie rekrutacji. Ten incydent służy jako ostrzeżenie dla pracodawców o konieczności wdrożenia skutecznych środków ochrony danych i starannego zarządzania bazą CV w sposób odpowiedzialny i zgodny z prawem, aby zapobiec podobnym naruszeniom w przyszłości.
Firma Codecool, znana organizacja szkoleniowa z Krakowa, oraz jej partner, firma LTI Mindtree, znalazły się w centrum uwagi po odkryciu poważnego wycieku danych osobowych. Ten niefortunny incydent ujawnił liczne luki w systemie ochrony danych obu firm, podważając ich wiarygodność w dziedzinie cyberbezpieczeństwa.
Codecool odgrywa kluczową rolę w procesie rekrutacyjnym dla firmy LTI Mindtree, pomagając w zatrudnieniu pracowników wsparcia dla nowo otwartego biura w Krakowie. W ramach tego procesu, Codecool gromadzi dokumenty, takie jak curriculum vitae, potencjalnych kandydatów. Niestety, mimo że Codecool oferuje szkolenia z cyberbezpieczeństwa, nie zauważono oczywistego wycieku danych, które nielegalnie trafiły do publicznego dostępu w internecie.
Wyciek danych został odkryty za pomocą prostych technik OSINT (Open Source Intelligence). Używając wyszukiwarki Google i kilku specyficznych operatorów, można było znaleźć pliki PDF zawierające wrażliwe informacje kandydatów.
Te przykłady to tylko wierzchołek góry lodowej. Wrażliwe dokumenty były indeksowane również przez mniej popularne wyszukiwarki oraz automatyczne bootstrapery internetowe.
Taki wyciek danych stanowi poważne zagrożenie dla bezpieczeństwa firmy LTI Mindtree oraz jej klientów. Dostęp do takich informacji może ułatwić cyberprzestępcom dotarcie do danych wrażliwych i strategicznych dla dużych biznesowych klientów usługi Azure Cloud Microsoftu.
Nie można wykluczyć, że skradzione dane mogą być wykorzystywane przez rosyjskie farmy trolli w celu wprowadzenia dezinformacji czy manipulacji w sieci. Sugeruje to, że wyciek mógł być celowy, a brak reakcji ze strony Codecool i LTI Mindtree może być wynikiem celowego zaniedbania lub ignorancji wobec zagrożeń.
Taki wyciek danych stanowi poważne zagrożenie dla bezpieczeństwa firmy LTI Mindtree oraz jej klientów. Dostęp do takich informacji może ułatwić cyberprzestępcom dotarcie do danych wrażliwych i strategicznych dla dużych biznesowych klientów usługi Azure Cloud Microsoftu.
Taki wyciek danych stanowi poważne zagrożenie dla bezpieczeństwa firmy LTI Mindtree oraz jej klientów. Dostęp do takich informacji może ułatwić cyberprzestępcom dotarcie do danych wrażliwych i strategicznych dla dużych biznesowych klientów usługi Azure Cloud Microsoftu.
Nie można wykluczyć, że skradzione dane mogą być wykorzystywane przez rosyjskie farmy trolli w celu wprowadzenia dezinformacji czy manipulacji w sieci. Sugeruje to, że wyciek mógł być celowy, a brak reakcji ze strony Codecool i LTI Mindtree może być wynikiem celowego zaniedbania lub ignorancji wobec zagrożeń.
Alarmujące jest to, że ani polskie, ani międzynarodowe służby do zwalczania cyberbezpieczeństwa nie wykryły tego wycieku przez ponad rok. To pokazuje, że nawet oczywiste i publicznie dostępne luki w bezpieczeństwie mogą być pomijane lub niedoceniane, co zwiększa ryzyko dla potencjalnych ofiar ataków cybernetycznych.
Wyciek danych z firmy Codecool to kolejne przypomnienie o znaczeniu odpowiednich praktyk i narzędzi w zakresie cyberbezpieczeństwa. Firmy muszą być bardziej czujne i proaktywne w kwestiach ochrony danych, aby zapobiegać takim incydentom w przyszłości. W przypadku wycieku, takie jak ten, konsekwencje mogą być katastrofalne dla ofiar oraz dla zaangażowanych firm.
Warto zauważyć, że podany przykład dotyczy wyszukiwarki Google, ale wrażliwe dokumenty były indeksowane również przez mniej popularne wyszukiwarki oraz automatyczne bootstrapery internetowe. Ciągle można więc znaleźć dokumenty kandydatów z zeszłego roku, pomimo automatycznego czyszczenia indeksacji na Google. Obecnie znalezione CV na Google są nadto na pewno osób, które obecnie poszukują pracy w IT – co jest jeszcze cenniejszą dodatkową informacją dla internetowych oszustów szukających takich danych w internecie. Nie można również wykluczyć celowego działania obcych lub konkurencyjnych służb, gdyż np. Google ma również swoich podwykonawców/firmy zależne w Krakowie, a Polska od zawsze była celem dezorganizacji i inwigilacji zarówno wschodnich jak i zachodnich mocarstw.
AKTUALIZACJA (08.2024):
Metoda ciągle działa, nadto wiecej różnych firm rekrutacyjnych z całego świata korzysta z tej wtyczki publikując dane i cv ludzi wierzących w regulacje RODO i gwarancje firm o niepublikowaniu ich danych w internecie za darmo, dla każdego oszusta czy obcego wywiadu. Oto niektóre z nich:
wmgtec.com impaxrecruitment.com foleja.com hskiclub.com lsisoftware.pl lobster-world.com thejobhelpers.com leverageshares.com kezakoo.com bluetogold.com
DanielGrabalski.com