Il laboratorio di ricerca di SafetyDetective ha scoperto un database non protetto che espone un server contenente 3 GB di con oltre 1,6 milioni di utenti interessati. I presunti proprietari di questo database sono stati informati tuttavia, ad oggi, il server è ancora online.
Il server attivo, localizzato a Mumbai, sembra essere collegato al nuovissimo sito web Talanton.ai, piattaforma per la pubblicazione e la ricerca di offerte di lavoro con sede in India e specializzata in offerte di lavoro professionali prevalentemente in ambito hi-tech, attualmente non funzionante sul lato utente. Talanton fa parte di una rete di siti web (jobyiee.com), che include altri siti per la ricerca di lavoro e la selezione di validi candidati in tutto il mondo.
Da quello che Anurag Sen, un hacker etico di SafetyDetective, ha potuto vedere, il server è esposto dal 17 maggio 2019 (la scoperta è avvenuta il 30 maggio 2019). La banca dati espone le informazioni di contatto personali e altre informazioni personali identificabili sia dei datori di lavoro sia di chi cerca lavoro.
Tale esposizione di informazioni personali ha interessato i professionisti di molti Paesi, tra cui USA, India, Israele, Regno Unito, Francia ed altri paesi europei, Australia, Emirati Arabi Uniti, Singapore e Hong Kong, solo per citarne alcuni. Sono trapelati anche i numeri telefonici diretti ed e-mail di amministratori delegati e dipendenti governativi di alto livello - incluso il direttore tecnico del governo australiano.
Neanche le agenzie di sicurezza governative, tra cui l’FBI, sono state risparmiate e sono rappresentate dai dati di un membro della Domestic Security Alliance Council, il DSAC (Consiglio dell'Alleanza per la sicurezza interna), dell’FBI.
Le informazioni disponibili sugli utenti in cerca di lavoro comprendono numeri telefonici diretti, località, titoli, attuali datori di lavoro, aspettative salariali, indirizzi e-mail personali, sesso, nazionalità, stato di ricerca di lavoro e altre informazioni simili, spesso private. Sono incluse anche le password criptate di oltre 50.000 registrazioni utente.
Anche nel caso dei datori di lavoro, i dati trapelati sono simili. Numeri di telefono privati, e-mail dirette, informazioni sugli stipendi per posizioni specifiche.
Avendo a disposizione informazioni potenzialmente sensibili su professionisti di alto profilo, quali origini etniche, sesso e altre ancora, i criminali informatici potrebbero usarle come metodo di ricatto, e potrebbero anche utilizzare questi dati per una campagna di phishing di massa. L’impatto della divulgazione pubblica di e-mail e numeri di cellulare privati può avere gravi conseguenze. In alcune giurisdizioni, questi dati possono anche essere utilizzati come strumento di estorsione e intimidazione.
Per evitare che le informazioni personali siano esposte ad un’eventuale furto di dati:
- Fare attenzione al tipo di informazioni condivise e a chi vengono fornite.
- Controllare che il sito web sia sicuro (verificare che sia un sito https e/o che sia presente l’icona di un lucchetto chiuso).
- Evitare di divulgare numeri identificativi ufficiali e preferenze personali.
- Creare password sicure combinando lettere, numeri e simboli.
- Non cliccare sui link nelle e-mail a meno che non si abbia la certezza che il mittente sia davvero chi dice di essere.
- Ricontrollare tutti gli account social (anche quelli che non in uso) per garantire la privacy dei post e dei dati personali, per renderli visibili solo alle persone fidate.
- Evitare di usare dati della carta di credito e digitare le proprie password su reti Wi-Fi non protette.