Najväčší slovenský pracovný portál Profesia čelil útoku podvodníkov. Spoločnosť potvrdila, že útočníci sa dostali do ich systémov a získali prístup k životopisom uchádzačov o prácu. Koľkých ľudí sa únik týka, nie je známe.
Profesia ľudí vyzýva na obozretnosť, ich údaje sa môžu snažiť podvodníci zneužiť. Pozor by si mali dávať najmä na falošné pracovné ponuky, snažiace sa vylákať od nich citlivé finančné údaje, či zneužitie identity.
Situáciu rieši polícia
„Na portáli Profesia.sk sme v prvej polovici marca zaznamenali bezpečnostný incident spočívajúci v prístupe neznámeho páchateľa k službe poskytovanej klientom,“ potvrdila pre Denník E spoločnosť Alma Career Slovakia, ktorá portál prevádzkuje.
Firma tvrdí, že hneď po útoku páchateľa zablokovala a pripravuje trestné oznámenie. Situáciou sa momentálne zaoberá polícia a Úrad na ochranu osobných údajov. „Úrad sme kontaktovali a poskytli mu všetky potrebné údaje. Aktuálne čakáme na ich vyjadrenie. Čo sa týka trestného oznámenia, určite ho budeme podávať, momentálne finalizujeme jeho znenie,” priblížila pre HN PR manažérka Alma Career Ľubica Melcerová.
Počet ľudí, ktorých údaje unikli, spoločnosť nespresnila. „Tú časť používateľov, ktorých údaje mohli byť ohrozené, sme okamžite kontaktovali a varovali sme ich pred zvýšenou hrozbou phishingových útokov a nevyžiadanou komunikáciou v najbližších dňoch,“ uviedla pre Denník N.
Hrozí zneužitie identity
Ide o uchádzačov o zametnanie, ktorí na platforme sprístupnili svoje životopisy registrovaným firmám. „Nejde ale o všetkých tých, ktorí svoj životopis sprístupnili, to by boli desaťtisíce ľudí, ale len o časť z nich,” spresnila Melcerová.
Spoločnosť im rozposlala listy, v ktorých ich informuje o útoku a jeho možných dôsledkoch. Útočníci môžu predstierať, že zastupujú portál Profesia alebo sa môžu prezentovať ako potenciálni zamestnávatelia a od ľudí požadovať úhradu rôznych poplatkov alebo číslo platobnej karty. Hrozí aj zneužitie identity.
„V závislosti od rozsahu údajov uvedených vo vašom životopise by mohlo dôjsť k pokusom o zneužitie vašej identity, napríklad pri zakladaní účtov alebo služieb,“ varuje Profesia.
Po útoku pristúpila spoločnosť k zvýšeniu kybernetickej bezpečnosti. „Najrýchlejšie ako sa dalo, sme pravidlá, ktoré boli už pomerne prísne, ešte viac sprísnili. Keďže kyberútoky sú na vzostupe, pracujeme na opatreniach, ktoré by mali do budúcna údaje zabezpečiť proti čoraz sofistikovanejším hrozbám,” uviedla Melcerová.
Takýto typ útoku by sa podľa nej už zopakovať nemal. „Veríme, že k ďalším únikom už nedôjde, ďalšie útoky však vylúčiť nemôžeme,” dodala.
Podľa experta rozsah tohto incidentu naznačuje, že nešlo o úplnú kompromitáciu servera, ale skôr o zneužitie chyby v logike aplikácie.
„Ak by mal hacker prístup k infraštruktúre, pravdepodobne by spoločnosť čelila ransomvéru alebo úplnému úniku všetkých firemných dát. Čiastočný únik životopisov však naznačuje, že by mohlo ísť skôr o chybu v autorizácii, pri ktorej hacker pomocou identity legitímneho používateľa pristupuje k údajom, ktoré by mali byť od neho izolované," vysvetľuje Andrej Šebeň, etický hacker z organizácie Haxoris.
Podľa neho ide o častú chybu mnohých spoločností, ktoré sa sústredia na obranu pred útokom zvonka, ale zanedbávajú hĺbkové testovanie systémov z pohľadu prihláseného používateľa.
