Данные из платформы для рекрутеров Potok.io попали в сеть

утечка данных Potok IO

Обновлено в 9:50 — 19.03.2020.

DeviceLock Data Breach Intelligence обнаружили в канун Международного Женского Дня в свободном доступе занимательный незащищенный Elasticsearch, однако по данным поисковика Shodan данная БД была проиндексирована поисковыми системами еще 3 марта 2020 года.

В итоговой базе данных содержалось 5 861 256 записей, при фильтрации по индексу «applicant».  Отдельно стоит отметить, что утечка стала довольно масштабной в области персональных данных, так как в свободном доступе оказались:

• ФИО кандидатов;
• Контактные номера телефонов;
• Email;
• Город проживания;
• Резюме кандидата (места работы, навыки, дата рождения, место жительства, трудовой стаж и многое другое).

Исходя из структуры данных и однозначной информации удалось вычленить из какой компании утекла данная база данных – Potok.io. Специалисты в области информационной безопасности из DeviceLock сразу же проинформировали владельцев портала об утечке. Также через 2 дня повторное обращение было отправлено через приватное сообщение  на официальной странице компании в Facebook, – реакции со стороны «Потока» не последовало.

В донесении информации помог лишь публичный пост в Фейсбуке от 12 марта.

18 марта представители компании Potok.io связались с Инфобезопасность и направили следующие комментарии:

…Речь идет о копии поискового индекса сервиса — это один из технических слоев данных, который используется для быстрого полнотекстового поиска внутри сервиса. В индексе находились данные, которые в той или иной степени являются общедоступными и размещены на площадках для поиска работы…

При этом, отмечается, что чувствительная личная информация не была затронута, а анализ логов показал низкое количество скачиваний первоначальной версии БД.

Утечка стала возможной из-за последовательности непредусмотрительных действий сотрудников в процессе миграции данных на более защищенную площадку согласно требованиям законодательства по обработке, хранению и защите персональных данных.

Помимо прочего Иван Дмитриев – CISO в Potok.io рассказал об уже внедренных доработках в платформе и плане мер для избежания утечек данных и повышении конфиденциальности пользователей:

• Публичные адреса новой площадки включены в перечень мониторинга;
• Настроено оповещение функции иб при обнаружении новых сервисов;
• Настроены правила межсетевого экранирования для разграничения доступа на сетевом уровне;
• Внедрена авторизация на сервисе;
• После успешного тестирования миграции, сервис не будет доступен из сетей общего пользования;
• После полного завершения миграции массивов данных, будет привлечена компания DeviceLock к аудиту платформы.