Generowałeś CV na CV.pl? Twoje dane mogły być ujawnione

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56076
Jeśli kiedykolwiek stworzyłeś sobie CV w generatorze na CV.pl to mamy złą wiadomość. Każdy mógł zobaczyć i pobrać Twoje CV. Co prawda, większość osób w CV nie pozostawia poufnych informacji, ale umieszcza takie informacje jak prywatny numer telefonu, datę urodzenia, swój wizerunek, szczegółowy opis wykształcenia czy inne “wrażliwe” informacje na swój temat, zakładając, że dzieli się nimi tylko z wybraną firmą, a nie całym internetem.

A co się stanie, jeśli zmienię 1 na 2?

Serwis CV.pl to tak naprawdę kreator CV “przez przeglądarkę”. Wystarczy wybrać szablon, podać e-mail i już można tworzyć CV wypełniając wygodny formularz zamiast męczyć się z marginesami i z pozycjonowaniem tekstu spacjami w Wordzie. Niestety kilku naszych Czytelników zauważyło, że link do wygenerowanego CV wygląda tak…
Zaloguj lub Zarejestruj się aby zobaczyć!
Kliknij aby rozwinąć...
Gdzie XXXXXX stanowi jakiś identyfikator. Czytelnicy Niebezpiecznika w takich sytuacjach zazwyczaj sprawdzają, czy zmiana identyfikatora powoduje pokazanie czyjegoś CV. Okazało się, że powoduje. Błąd zweryfikowaliśmy w praktyce i my, często trafiając na niepełne CV, takie jak to:

cv2-600x355.png

Co 3-4 próby trafialiśmy jednak na pełne CV, nierzadko ze zdjęciem.

cv3-600x484.png


cv4-600x456.png


cv1-600x411.png

Serwis CV.pl należy do spółki Jobs.pl SA z Warszawy. Skontaktowaliśmy się ze spółką aby zgłosić ten błąd. Dość szybko podziękowano nam za zgłoszenie i usunięto dziurę. To było dla nas najważniejsze. Zadaliśmy spółce dodatkowe pytania.
1. Czy ten wyciek zostanie zgłoszony do UODO zgodnie z art. 32 RODO?
2. Czy osoby, których dane wyciekły, zostaną o tym powiadomione?
3. Od jak dawna ten błąd mógł występować?
4. Czy przeanalizowano logi pod kątem masowego pobierania danych?
Kliknij aby rozwinąć...
Pani Lidia Król przysłała nam w imieniu firmy następującą odpowiedź.
Oczywiście podejmujemy działania zgodnie z przepisami RODO. Bug pojawił się na wskutek zmian dokonanych w ostatnich dniach, które były związane z wymaganiem logowania się – a w zasadzie możliwości aplikowania bez logowania. Mechanizm ten nie został wyodrebniony z tego mechanizmu (całosciowego), natomiast po Państwa zgłoszeniu, natychmiast – w tym samym dniu został przebudowany i tym samym problem został rozwiązany.
Przeanalizowaliśmy logi pod kątem masowego pobierania danych i nie doszło do ich pobrania.
Kliknij aby rozwinąć...
Korzystałem z CV.pl. Co robić? Jak żyć?

Być może pocieszy Cię wiadomość, że wycieki CV po prostu się zdarzają. Przykładowo pisaliśmy o wycieku
Zaloguj lub Zarejestruj się aby zobaczyć!
.

Rada na przyszłość: na czas rekrutacji warto założyć osobną skrzynkę e-mail i numer telefonu. Choćby z tego powodu, że czasem
Zaloguj lub Zarejestruj się aby zobaczyć!
, ujawniając kto i gdzie stara się o pracę. Kilka lat temu, bank Pekao S.A. za wyciek CV osób, które się do niego rekrutowały,
Zaloguj lub Zarejestruj się aby zobaczyć!
karę w wysokości 10 000 PLN jednej z poszkodowanych kobiet (ofiara poczuła się nękana przez internautów i domagała się 35 000 PLN; Sygnatura akt: VI ACa 208/12).

Dane zawarte w CV mogą mieć wartość marketingową, natomiast raczej
Zaloguj lub Zarejestruj się aby zobaczyć!
, chyba że da się je połączyć z innymi Twoimi danymi udostępnionymi przez Ciebie w innych miejscach lub ujawnionymi w innych wyciekach.

Generalnie, na podstawie danych z CV nie powinno się także dać przejąć Twojego konta w innym serwisie, ale na wszelki wypadek zrób rachunek sumienia i jeśli któreś z Twoich haseł lub pytań kontrolnych bazuje na danych, jakie umieściłeś w CV, to zmień je. Potraktuj też ten wyciek jako zachętę do sprawdzenia co jeszcze udostępniasz na sój temat w social mediach i rozważ ograniczenie tych informacji.

Rozważ też ograniczenie korzystania z internetowych generatorów dokumentów. One są wygodne, ale zawsze ryzykujesz wyciek danych przesłanych na niezależny od Ciebie serwer. Na koniec przytoczmy poradę, którą dzielimy się z uczestnikami naszych “
Zaloguj lub Zarejestruj się aby zobaczyć!
“:
Pamiętaj że wszystko co umieszczasz w internecie , nawet w ramach prywatnej rozmowie, powinno być traktowane jako publicznie dostępne. Zawsze i dla każdego. Bo na skutek wielu błędów tak może się zdarzyć.
Kliknij aby rozwinąć...
Czego przykładem jest właśnie ten wyciek danych z serwisu CV.pl. Aha i to ostrzeżenie dotyczy także wszystkiego, czego nie umieszczasz w internecie, ale co przechowujesz na podpiętych do internetu komputerach i smartfonach. Jeśli ktoś przejmie nad nimi kontrolę (a to też się zdarza), to po prostu dotrze do tych danych.
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Katastrofalna luka Cisco. Zagrożone dane w AWS, Azure i Oracle Cloud
Odpowiedzi
0
Wyświetleń
73
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Meta pokonała Androida. Śledzą wszystkich pomimo zabezpieczeń i opcji prywatności
Odpowiedzi
1
Wyświetleń
106
al
al
OXYGEN THIEF
Nieznane modemy znalezione w chińskich inwerterach fotowoltaicznych
Odpowiedzi
0
Wyświetleń
123
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Skąd biorą się te reklamy? To nie wina mikrofonu prawda jest gorsza
Odpowiedzi
0
Wyświetleń
109
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Grupa CyberVolk twierdzi, że zinfiltrowała system MSWiA
Odpowiedzi
1
Wyświetleń
122
Quń
Quń
Do góry