Xobin이 최소 3개월 동안 공개적으로 노출된 데이터베이스를 남겼음
이 데이터베이스에는 50만 명 이상의 구직자의 개인 식별 정보(PII)가 포함되어 있었음
신분증과 여권이 파일에 포함되어 있었음
수백만 명의 구직자의 개인 식별 정보(PII)가 포함된 데이터베이스가 발견된 지 며칠 후, 다른 회사에 의해 또 다른 50만 명이 노출되었을 수 있음
이 보호되지 않은 파일은 Cybernews 연구자들에 의해 발견되었으며, 50만 명 이상의 구직자의 PII가 포함되어 있었음. 여기에는 이력서, 여권 스캔 및 신분증 사본이 포함되어 있었음
이 파일은 AI 기반 HR 기술 회사인 Xobin에 의해 노출되었으며, 공개 데이터베이스에 대한 수많은 경고에도 불구하고 거의 3개월 동안 열려 있었음
Xobin은 일부 대기업의 고객을 보유하고 있음
연구자들은 Xobin이 도요타, 에릭슨, 토론토 대학교, 도미노 피자 등 여러 회사 및 조직의 고객이라고 말함
데이터베이스가 발견되기 전 얼마나 오랫동안 노출되었는지는 알려지지 않았으나, Cybernews는 8월 5일에 데이터베이스를 처음 발견하고 즉각적인 경고를 발행했으며, 데이터베이스는 11월 4일에만 삭제되었음
파일은 잘못 구성된 Google Cloud Storage 버킷에 저장되어 있었음. 총 18,000개의 CSV 및 XLSX 파일이 발견되었으며, 여기에는 523,074명의 구직자 지원서가 포함되어 있었음. 각 지원서에는 전체 이름, 전화번호 및 이메일 주소가 포함되어 있었음
또한, 3,129개의 여권 및 신분증 사본과 인도의 사회 보장 번호에 해당하는 영구 계좌 번호가 포함되어 있었음
18,629개의 이력서가 발견되었으며, 각 이력서에는 각 지원자에 대한 추가 세부 정보가 포함되어 있었음. 만약 데이터베이스가 악의적인 행위자에 의해 접근되었다면, 이는 다른 PII와 함께 사회 공학, 스피어 피싱 공격, 강탈, 금융 사기 및 계정 탈취에 사용될 수 있었음, 특히 개인이 높은 임금을 받고 있거나 구직 중인 경우 더욱 그러함
“모든 사이버 위협을 언급할 수 있음: 신원 도용, 스피어 피싱, 독점 정보 유출, 사회 공학 및 기타 여러 형태의 사기. 유출된 개인 정보에는 민감한 세부 정보가 포함되어 있으며, 구직자는 특히 취약함. 사기꾼은 합법적인 채용 기관을 가장하여 유혹적인 사기 직업을 제공하고, 다른 표적화된 사기 활동을 수행하여 잠재적으로 파괴적인 재정적 및 개인적 결과를 초래할 수 있음”이라고 Cybernews 연구자들이 말함.
