Une entreprise d’acquisition de talents du New Jersey a exposé les CV et les informations personnelles d’au moins 30 000 travailleurs potentiels en laissant une base de données sur Internet sans mot de passe.
La base de données appartient à Voto Consulting, une entreprise du nord du Brunswick qui trouve des emplois aux États-Unis en grande partie pour les professionnels indiens de l’informatique.
On ne sait pas exactement combien de temps la base de données a été exposée, mais elle a d’abord été indexée par Shodan, un moteur de recherche pour les appareils et bases de données exposés, le 10 mai. La base de données a été découverte par Anand Prakash, chercheur en sécurité et fondateur de PingSafe AI, qui fourni les détails de la base de données à TechCrunch.
Mais comme la base de données était exposée à Internet sans mot de passe, il était possible pour n’importe qui d’effectuer des recherches dans la base de données à partir d’un navigateur Web.
La base de données contenait les noms, les adresses e-mail et les CV des candidats, dont beaucoup contenaient des antécédents professionnels détaillés, ainsi que d’autres informations personnelles, telles que les adresses personnelles, les numéros de téléphone et les dates de naissance. Dans de nombreux cas, les CV ont également révélé le statut d’immigration des candidats, par exemple s’ils avaient un visa, des autorisations de travail ou la citoyenneté, ainsi que des détails sur les habilitations de sécurité d’une personne requises pour certains emplois du gouvernement fédéral américain. Bien que l’existence d’une habilitation de sécurité ne soit pas nécessairement un secret en soi, les gouvernements étrangers cherchent depuis longtemps à exploiter et à faire chanter ceux qui ont des habilitations de sécurité pour des gains de renseignement.
TechCrunch a contacté le directeur général de Voto, Lynel Fernandes, avec un lien vers la base de données exposée le 11 mai, mais nous n’avons pas eu de réponse et la société n’a pas immédiatement sécurisé la base de données. (Un message envoyé avec un tracker ouvert a montré que notre e-mail avait été ouvert plusieurs fois mais ignoré.)
Après n’avoir pas reçu de réponse, TechCrunch a informé la Cellule d’intégration de la cybersécurité et des communications du New Jersey, une agence gouvernementale de l’État chargée du partage d’informations sur la cybersécurité et des rapports d’incidents, qui a accepté d’informer Voto par e-mail et par téléphone de la base de données exposée.
La base de données est hors ligne depuis mardi, plus de deux semaines plus tard. Au moment où la base de données a été sécurisée, sa taille avait plus que quintuplé, répertoriant plus de 170 000 entrées au total.
Lire la suite: