This post is also available in:
English (אנגלית)
לאחרונה נחשפה פריצה משמעותית למידע בה מעורבת HireClick, פלטפורמת גיוס המספקת שירותים לעסקים קטנים ובינוניים. הדליפה, שזוהתה לראשונה ב-27 בפברואר 2025 על ידי Cybernews, חשפה יותר מ-5.7 מיליון קבצים, בעיקר קורות חיים, בגלל בעיה בקונפיגורציה של דלי אחסון של AWS S3.קבצים אלה הכילו נתונים אישיים רגישים מאוד של מחפשי עבודה, מה שהותיר אותם פגיעים למגוון רחב של פעילויות סייבר.
בין המידע שנחשף היו שמות מלאים, כתובות בית, כתובות דואר אלקטרוני, מספרי טלפון והיסטוריית תעסוקה, כך לפי Cybernews. הפרה זו מהווה סיכון חמור למי שנתוניו נחשפו, שכן נוכלים יכולים להשתמש באוסף זה של פרטים אישיים כדי לבצע התקפות פישינג ואפילו גניבת זהות.
אופי הדליפה מאפשר לרמאים להתחזות למגייסים או למנהלי גיוס, להונות מחפשי עבודה לשתף מידע רגיש נוסף כגון סריקות תעודות מזהות, מספרי תעודת זהות או פרטים בנקאיים. במקרים מסוימים, תוקפים עשויים להשתמש במספרי הטלפון שהודלפו כדי להתקשר לקורבנות, להתחזות לנציגי משאבי אנוש ולאלץ אותם להתקין תוכנות זדוניות או לחשוף נתונים פיננסיים.
סוג זה של הדלפה יכול גם להקל על פעילויות זדוניות נוספות, כולל doxxing, בהן תוקפים חושפים מידע אישי. עם שמות, כתובות דואר אלקטרוני, מספרי טלפון וכתובות בית הזמינים כעת לפושעי סייבר, הפוטנציאל להטרדה ממוקדת גדל.
היקף ההדלפה המלא, כולל משך הזמן שבו המידע היה נגיש לציבור, נותר לא ברור.
פריצה זו מתווספת לרשימה הולכת וגדלה של אירועים שבהם פלטפורמות גיוס חשפו שלא במתכוון את הנתונים הפרטיים של מחפשי העבודה. ככל שהתדירות של פריצות לנתונים ממשיכה לעלות, פלטפורמות גיוס צריכות ליישם אמצעי אבטחה חזקים יותר כדי להגן על המידע הרגיש של מחפשי העבודה. אירוע HireClick מדגיש את הצורך הדחוף בבקרת הדוקה יותר על הגישה לנתונים וניטור קפדני יותר של מערכות אחסון. עד שיטופלו בעיות אלה, אנשים החולקים פרטים אישיים על פלטפורמות גיוס יישארו פגיעים להונאות מתוחכמות יותר ולגניבת זהות.
