- قال أحد الباحثين إن إحدى شركات توظيف التكنولوجيا تركت المعلومات الشخصية لنحو 216 ألف شخص مكشوفة.
- تضمنت المعلومات أرقام الضمان الاجتماعي الجزئية وعناوين البريد الإلكتروني وحالات التأشيرة.
- ومن غير الواضح ما إذا كانت أي أطراف غير مصرح لها قد وصلت إلى البيانات المكشوفة.
وجد أحد باحثي تكنولوجيا المعلومات أن الملفات غير الآمنة من قاعدة بيانات أحد مسؤولي التوظيف في مجال التكنولوجيا تتضمن معلومات تعريف شخصية لما يقدر بنحو 216000 باحث عن عمل – بما في ذلك بيانات مثل الأسماء وأرقام الهواتف وأرقام جواز السفر ومعلومات التأشيرة وأرقام الضمان الاجتماعي الجزئية.
قال جيريميا فاولر، الباحث الأمني الذي شارك في تأسيس شركة الاستشارات Security Discovery، إنه لا يعرف المدة التي استغرقها الكشف عن البيانات، لكنه أخبر Business Insider أن قاعدة البيانات تم إغلاقها قريبًا بمجرد اتصاله بمسؤول التوظيف في سبتمبر. وقال إن شركة Alltech Consulting Services ومقرها نيوجيرسي لم تستجب لإشعاراته أبدًا.
لم يستجب ممثلو Alltech أيضًا لطلبات التعليق من BI على وجه التحديد حول المشكلة الأمنية.
نشر فاولر يوم الاثنين تقريره الأمني الذي يشير إلى أن Alltech تركت قاعدة بياناتها الخاصة بمعلومات المرشح للوظيفة غير آمنة بدون كلمة مرور. وقد أدى ذلك إلى ترك معلومات التعريف الشخصية لحوالي 216000 مرشح للوظائف التقنية مكشوفة. وقال فاولر إنه نظرًا لأن الباب ترك مفتوحًا بشكل أساسي، فإن أي شخص يحاول سرقة الهويات لن يحتاج إلى اختراق قاعدة بيانات Alltech – أو حتى البحث بجدية – للعثور على المعلومات.
تقول Alltech على موقعها على الإنترنت أن “أكثر من 1000 شركة” تعتمد على خدماتها لربطها بمحترفي التكنولوجيا. ولم يتمكن موقع Business Insider من التحقق من ذلك بشكل مستقل. اتصلت BI أيضًا بالشركة عن طريق الاتصال برقم هاتفها الرئيسي، وإرسال رسائل LinkedIn مباشرة إلى مديريها التنفيذيين، وإرسال بريد إلكتروني إلى عنوان بريدها الإلكتروني الرئيسي.
أخبر اثنان من المديرين التنفيذيين لشركة Alltech، كمالك الشركة ونائب الرئيس على LinkedIn، موقع Business Insider في رسائل مباشرة أنهما لم يكونا على علم بأي شيء بيانات غير آمنة أو خرق.
وقال فاولر إن البيانات التي تم الكشف عنها تشمل عناوين البريد الإلكتروني وأرقام جوازات السفر وآخر أربعة أرقام من أرقام الضمان الاجتماعي ومعلومات عن تأشيرات العمل. وقال فاولر: “احتوت السجلات أيضًا على ملاحظات داخلية حول خبراتهم ومؤهلاتهم ونوع الوظيفة التي يبحثون عنها”.
قام موقع Business Insider بمراجعة الرسالة التي أرسلها فاولر إلى ثلاثة عناوين بريد إلكتروني لشركة Alltech في 10 سبتمبر للكشف عن البيانات غير المحمية. سبق أن أشار فاولر إلى مشكلات تتعلق بالأمن السيبراني مع مزود خدمة الواي فاي في محطات السكك الحديدية في المملكة المتحدة، وشركة برمجيات تستخدمها أكثر من 5000 منطقة تعليمية أمريكية، ومزود طبي افتراضي، من بين آخرين.
قال جاستن ميلر، وكيل الخدمة السرية السابق والأستاذ المشارك في ممارسة الدراسات السيبرانية في جامعة تولسا، لموقع Business Insider، إن ترك قاعدة بيانات غير محمية بكلمة مرور أو أي تشفير يعني “أن أي شخص يمكنه الوصول إلى قاعدة البيانات”. ومع ذلك، فمن غير الواضح ما إذا كانت أي أطراف أخرى غير مصرح لها قد وصلت إلى بيانات Alltech.
وقال ميلر وفاولر إن نوع المعلومات التي تركتها قاعدة البيانات مكشوفة، بما في ذلك الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي، يمكن أن تسمح لمجرم إلكتروني بانتحال شخصية شخص ما.
قال ميلر: “أنت تتطلع إلى سرقة الهوية”. “التفاصيل مثل الأسماء، وتاريخ العمل، وحالة التأشيرة، وأرقام جواز السفر، وحتى أجزاء من رقم الضمان الاجتماعي الخاص بك، تسمح للجهات الفاعلة السيئة بتجميع معلومات كافية معًا لسرقة الهويات وإنشاء ملفات تعريف احتيالية.”
وأضاف فاولر أن حوادث مثل حادثة Alltech – وغيرها من الحوادث التي يحقق فيها – تسلط الضوء على مدى أهمية حماية الشركات لبياناتها.
وقال فاولر: “إنها أيضًا بمثابة دعوة للاستيقاظ للصناعة لمراجعة ممارسات أمن البيانات الخاصة بهم وتحديد نقاط الضعف لحماية أنظمتهم الداخلية والمعلومات الشخصية للأفراد الذين يخدمونهم”.
يقول موقع Alltech على الويب أنه تم تأسيسه في عام 1998. وليس من الواضح سبب قيام Alltech بجمع معلومات الضمان الاجتماعي أو جواز السفر للباحثين عن عمل. وقال فاولر إن المرشحين للوظائف يجب أن يكونوا “متشككين” في القائمين على التوظيف الذين يطلبون معلومات شخصية كشرط للتقدم للحصول على وظيفة.
هل لديك نصيحة؟ تواصل مع المراسلين على [email protected] و[email protected]