Le célèbre site de recherche d'emploi, Monster.com, aurait exposé en ligne les fichiers privés de nombreux utilisateurs, hébergés sur un serveur tiers.
Le site internet de recrutement Monster, qui génère 8 000 recherches, 2 800 annonces consultées et 29 curriculum vitae téléchargés par minute dans le monde, a fait une jolie boulette en laissant exposés en ligne les CV de nombreux candidats. Le serveur tiers sur lequel les fichiers étaient hébergés contenait des informations confidentielles de milliers de membres, qui n'ont pas été informés de la faille, révèle TechCrunch.
Des CV postés entre 2014 et 2017 exposés
Le serveur en question contenait potentiellement des milliers de CV, appartenant à des internautes qui étaient à la recherche d'un emploi entre 2014 et 2017, une large période d'exposition pour Monster. Parmi les données personnelles exposées sur le serveur, on pouvait retrouver des numéros de téléphone, des adresses postales et électroniques, ainsi que le passé professionnel des candidats. La plupart des candidats touchés par la faille sont issus des États-Unis.Pour le moment, le nombre exact de CV exposés reste inconnu, mais TechCrunch nous indique que plusieurs milliers de CV étaient hébergés sur un seul et même dossier, daté de mai 2017. Des documents liés à l'immigration ont aussi été retrouvés sur le serveur.
Monster ne se sent pas responsable, le serveur appartenant à l'un de ses anciens clients
Du côté de Monster, la réaction est venue de Michael Jones (pas le chanteur, non), responsable de la protection de la vie privée de la société. « L'équipe de sécurité de Monster a été mise au courant d'une éventuelle exposition et en a informé la société de recrutement », a-t-il indiqué, tout en précisant que le serveur touché appartenait à un client avec lequel Monster ne travaille plus.Le serveur a été sécurisé peu de temps après son signalement, au mois d'août. Monster révèle tout de même n'avoir pu avertir les utilisateurs de l'exposition de leurs données, ce qui constitue un manquement important, les sociétés devant au moins prévenir les procureurs généraux des États lorsque des violations de données ont lieu. « Les clients qui achètent l'accès aux données de Monster - c'est-à-dire les CV des candidats - en deviennent les propriétaires et sont responsables du maintien de la sécurité de ces dernières », s'est justifiée la société.
Source : TechCrunch