Hekkerek adatai is kikerültek a HR botrányban

Még éppen csak elindult, ki tudja hol áll meg az a botrány, amit egy magyar HR adatbázis kikerülése okozott az elmúlt órákban. Az üggyel már a Telex is foglalkozott, azonban van néhány észrevételem, ami talán még nem került megfogalmazásra.

Már évekkel ezelőtt próbáltam felhívni a figyelmet arra, hogy a piacvezető állásportálok (amik egyébként akkoriban zömmel külföldi tulajdonban voltak) milyen elképesztően jelentős adatvagyonnal rendelkeznek, amik bizonyos kontextusokban biztonsági kérdéseket is felvethetnek, amellett, hogy kézenfekvő célpontjai lehetnek a külső támadásoknak.

A mostani esetben ehhez valószínűleg nem volt erre sem szükség, feltételezem egy fejlesztőnek nem sikerült rendesen megugornia a feladatát, de máskülönben szerintem rávilágít a megfelelően biztonságos fejlesztési eljárások (és azok betartásának és ellenőrzésének) fontosságára, valamint a tudásmegosztó platformok körültekintő használatának kérdéskörére.

Természetesen a botránnyal érintett cég hiába tette elérhetetlenné a Github-ra felkerült fájlokat, azok most is elérhetők, így jelenleg is zajlik a személyes adatok illetéktelen kezelésének expanziója, hiszen a médiafigyelem után is elérhető adatokat épp csak az nem találja meg, aki nem akarja a Github más bugyraiban.

Az adatok egyéként rendkívül súlyosan hátrányosak az érintettek számára, és megjegyzem számos biztonsági szakember és etikus hekker személyes adatait is tartalmazza, amely rendkívül aggályos lehet az érintettek vonatkozásában, hiszen vélhetően többen is érzékeny projekteken dolgoznak (idézet az adatbázisból: „nem hekker, hanem ő ellenőrzi őket”), így bizonyára izgalmas célpontjai lehetnek különböző támadásoknak majd a jövőre nézve.

De gondolom ezt sem fogja senki véresen komolyan venni, mint ahogy a HR munkavállalói sem vették a munkájukat. Kedvenc idézetem az adatbázisból egy etikus hekker megkeresése kapcsán: „hát ne hívjuk többet, túl szenior magyar céghez, meg am is külföldön tervezi a jövőjét, és ha szép vagyok jelöljem be Face-en és meghív egy kv-ra.”

Update 2024.10.01 17:00:

A cég weboldala eddig bírta a terhelést, vélhetően human DDoS áldozata lett:

Érdekes lehet még