«Прозрачный» рекрутинг от Alltech: 2,3 млн записей о кандидатах попали в открытый доступ

«Прозрачный» рекрутинг от Alltech: 2,3 млн записей о кандидатах попали в открытый доступ

Не защищенная паролем база оказалась доступной для всех.

image

Специалист по кибербезопасности Джеремия Фаулер обнаружил незащищенную базу данных, содержащую конфиденциальную информацию около 200 тысяч специалистов, ищущих работу в технологическом секторе. Утечка связана с компанией Alltech Consulting Services, занимающейся подбором IT-специалистов для работодателей в США и Канаде.

В открытом доступе находилось более 2,3 миллиона записей. Папка с документами содержала персональные данные примерно 216 тысяч соискателей, включая имена, номера телефонов, адреса электронной почты, последние четыре цифры номеров социального страхования, номера паспортов и информацию о наличии рабочих виз. Дополнительно база включала внутренние заметки о квалификации кандидатов, опыте работы и желаемых должностях.

Компания Alltech Consulting Services, базирующаяся в Нью-Джерси, сотрудничает с более чем тысячей компаний для подбора специалистов в области IT и инженерии. После уведомления об утечке публичный доступ к базе данных был закрыт на следующий день. Однако компания не ответила на уведомление о проблеме. Остается неизвестным, управляла ли компания незашифрованной базой данных самостоятельно или через стороннего подрядчика, а также период, в течение которого данные находились в открытом доступе.

В записях также содержалась информация о работодателях, включая названия компаний, контактные данные, а также сведения о зарплатных ожиданиях кандидатов и готовности к релокации. Значительная часть файлов содержала пометки о наличии у соискателей визы H-1B – неиммиграционной визы, позволяющей американским компаниям нанимать иностранных специалистов в технических областях.

По прогнозам, с 2022 по 2032 год в компьютерной и IT-отрасли ежегодно будет открываться около 377,5 тысяч вакансий. Специалисты технологического сектора получают одну из самых высоких зарплат - в среднем более 100 тысяч долларов в год, что значительно превышает медианную зарплату в США, составляющую 48 060 долларов в 2023 году.

Высокооплачиваемые специалисты могут стать привлекательной целью для киберпреступников. Доступ к номерам паспортов и частичным номерам социального страхования в сочетании с информацией об образовании, опыте работы и уровне дохода может быть использован для создания целенаправленных фишинговых кампаний.

Статистика показывает рост мошенничества в сфере трудоустройства. В США потери от фальшивых предложений работы с 2019 по 2023 год составили 737 миллионов долларов. По данным Федеральной торговой комиссии, количество мошенничеств в сфере трудоустройства выросло на 110% в 2023 году по сравнению с 2022 годом, когда соискатели потеряли около 367 миллионов долларов. Средний ущерб составляет 12 тысяч долларов на человека.

Особому риску подвергаются держатели виз H-1B, так как для работы в США иностранным специалистам требуется официальная поддержка от американской компании-работодателя. Зависимость от компании-спонсора может сделать владельцев виз более уязвимыми для мошенников, которые обещают помощь в трудоустройстве с оформлением всех необходимых документов. Злоумышленники также могут использовать полученные данные для организации мошеннических схем, связанных с иммиграционными услугами.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь