Các nhà nghiên cứu đã phát hiện ra một vụ rò rỉ dữ liệu lớn, có nguồn gốc từ HireClick, một nền tảng tuyển dụng dành cho các doanh nghiệp vừa và nhỏ. Nền tảng này giúp các doanh nghiệp quản lý danh sách việc làm, đơn xin việc của ứng viên và quy trình tuyển dụng.

Công ty đã để hơn 5,7 triệu dữ liệu ở tình trạng mở cho bất kỳ ai trên internet do cấu hình sai thùng lưu trữ Amazon AWS S3. Các tệp bị rò rỉ đã tiết lộ thông tin nhạy cảm và riêng tư của người tìm việc, chủ yếu là sơ yếu lý lịch.

Dữ liệu cá nhân nào bị HireClick rò rỉ?

Họ và tên đầy đủ

Địa chỉ nhà riêng

Địa chỉ email

Số điện thoại

Thông tin việc làm

Vụ rò rỉ ảnh hưởng đến khách hàng của như thế nào?

Với sơ yếu lý lịch, địa chỉ email và số điện thoại bị đánh cắp, vụ rò rỉ này là một “mỏ vàng” cho những kẻ lừa đảo.

Trong tay kẻ xấu, dữ liệu bị rò rỉ có thể cung cấp mọi thứ từ trộm cắp danh tính và mạo danh đến các chiến dịch lừa đảo, vishing và smishing, trong đó kẻ tấn công đóng giả làm nhà quản lý tuyển dụng để khai thác những người tìm việc.

Nạn nhân có khả năng nhận được email lừa đảo trông giống như lời mời làm việc thực sự, yêu cầu ứng viên "xác minh" danh tính của họ bằng cách quét ID, số An sinh xã hội hoặc thậm chí thông tin ngân hàng để thiết lập khoản tiền gửi trực tiếp.

Sử dụng số điện thoại bị rò rỉ, kẻ lừa đảo có thể đóng giả làm người tuyển dụng hoặc đại diện phòng nhân sự, thuyết phục nạn nhân tiết lộ thông tin ngân hàng hoặc cài đặt phần mềm độc hại đánh cắp tiền trên thiết bị của họ.

Kẻ lừa đảo có thể sử dụng sơ yếu lý lịch bị rò rỉ để tạo danh tính giả, thực hiện các vụ lừa đảo xác minh việc làm hoặc thậm chí truy cập vào hệ thống nơi làm việc bằng cách mạo danh người nộp đơn xin việc.

Rủi ro không chỉ dừng lại ở việc đánh cắp dữ liệu. Loại rò rỉ này cho phép những kẻ tấn công dựa trên web nhằm thu thập dữ liệu cá nhân và thông tin nhạy cảm (doxxing), hành vi tiết lộ thông tin cá nhân một cách có chủ đích để quấy rối hoặc đe dọa cá nhân. Với tên đầy đủ, email, số điện thoại và địa chỉ thực trong tay, kẻ tấn công có thể dễ dàng tìm và nhắm mục tiêu vào nạn nhân trực tuyến.

Các nhà nghiên cứu không thể xác định được thùng dữ liệu này có thể truy cập công khai trong bao lâu.

Các nền tảng tuyển dụng đang làm rò rỉ dữ liệu

Đây không phải là lần đầu tiên dữ liệu cá nhân của người tìm việc bị rò rỉ trực tuyến. Nghiên cứu trước đây của các chuyên gia cho thấy, Foh&Boh, một nền tảng tuyển dụng của Hoa Kỳ được KFC, Taco Bell và Hyatt Grand sử dụng, đã tiết lộ hàng triệu sơ yếu lý lịch của ứng viên, tiết lộ tất cả những gì họ muốn chia sẻ với các nhà tuyển dụng tiềm năng.

Một nghiên cứu khác phát hiện ra rằng Take Valley News Live, một đài truyền hình có trụ sở tại Bắc Dakota, đã tiết lộ dữ liệu nhạy cảm của người tìm việc cho bất kỳ ai trên internet.

Vào đầu tháng 5, một trong những nền tảng việc làm lớn nhất châu Âu là beWanted đã tiết lộ một loạt thông tin chi tiết nhạy cảm, tiết lộ thông tin cá nhân của người tìm việc, từ tên đến số CMND.

Năm ngoái, một nền tảng tuyển dụng từ xa có trụ sở tại Singapore là Snaphunt đã tiết lộ hơn hai trăm nghìn hồ sơ xin việc (CV) của các ứng viên xin việc từ năm 2018 đến năm 2023.

Hà Linh