Beursgenoteerd bedrijf lekt duizenden CV's
Via een beursgenoteerd techbedrijf waren duizenden CV's toegankelijk via een openbare Azure Blob Storage. Het lek is door Centrum voor Cybersecurity, Veiligheid en Technologie (CCVT) ontdekt en gerapporteerd, waarna het lek is gedicht.
Het onderzoek van het CCVT richt zich op het monitoren van openbare buckets op verschillende cloudplatforms, zoals Amazon Web Services, Azure Blob Storage, Digital Ocean Spaces en Google Cloud platform. Door te zoeken naar relevante keywords voor hun klanten op domeinen, merknamen, samenwerkingen, projecten en applicaties, identificeert het CCVT potentieel risicovolle datalekken. “In de meeste gevallen vinden wij data die ook daadwerkelijk openbaar hoort te zijn, zoals statische web content of afbeeldingen. In dit specifieke geval ontdekte wij een grote hoeveelheid CV’s, inclusief gevoelige, persoonlijke gegevens, zoals namen, adressen, telefoonnummers en werkgeschiedenis”, aldus Sven Mik, Cyber Researcher bij het CCVT.
Configuratiefout
Het technologiebedrijf, dat actief is in IT-diensten en consultancy in de Verenigde Staten en delen van Europa, maakte gebruik van Azure Blob Storage voor het opslaan van CV's die kandidaten via hun website konden uploaden. Door een fout in de configuratie waren deze voor iedereen toegankelijk via /media/forms/upload. “Wij troffen maar liefst 1.969 CV’s aan, verzameld over een periode van 11 februari 2022 tot 23 februari 2024. Ze waren afkomstig van kandidaten verspreid over de hele wereld, waaronder het Verenigd Koninkrijk, Frankrijk, Luxemburg en België.
Het CCVT deed een ‘responsible disclosure’ melding van de kwetsbaarheid bij de betreffende organisatie. Het technologiebedrijf reageerde snel door de public network access in Azure uit te schakelen, waardoor de gelekte persoonsgegevens niet langer toegankelijk waren. Echter, deze actie had ook gevolgen voor de website van het bedrijf, waardoor afbeeldingen en blokken content tijdelijk niet beschikbaar waren. “Het belang van het beschermen van de persoonsgegevens ging voor de gebruiksvriendelijkheid van de website; een slimme keuze als je het mij vraagt”, aldus Mik.
Naam niet openbaar gemaakt
Hoewel de naam van het betrokken technologiebedrijf bij het CCVT bekend is, wordt deze niet publiekelijk gedeeld. Wel benadrukt het CCVT het belang van verantwoordelijkheid nemen voor de bescherming van persoonsgegevens en moedigt andere organisaties aan om proactief te zijn in het voorkomen van datalekken.
