03.07.2025
1 хв
504
Американський розробник програмного забезпечення TalentHook, що спеціалізується на пошуку кандидатів для HR-відділів, залишив відчиненим хмарне сховище на Azure. Як наслідок — майже 26 мільйонів резюме стали загальнодоступними. Поміж них — повні імена, адреси, телефони, історія працевлаштування, освіта та інша конфіденційна інформація. Витік може стати інструментом для фішингу, шахрайства, викрадення особистості та навіть шантажу.
Хмарне сховище, виявлене дослідниками Cybernews, містило десятки мільйонів файлів, серед яких здебільшого — резюме громадян США. Усі ці дані потрапили у вільний доступ через неправильно налаштований контейнер Azure Blob. Серед даних, що стали доступними:
повні імена
електронні адреси
мобільні номери
домашні адреси
інформація про освіту та роботу
професійні навички
Експерти застерігають: така детальна особиста інформація відчиняє шлях до надточних фішингових атак, підроблених job-offer листів, виманювання банківських реквізитів, ID-документів або навіть імітації роботодавців, які “вимагають оплату за навчання чи перевірку». TalentHook — система керування рекрутингом (ATS), яку створила компанія Resource Edge зі штату Невада. Їхній інструмент допомагає рекрутерам автоматизувати пошук кандидатів. Але у січні 2025 року виявили витік у хмарному контейнері цієї системи.
TalentHook став прикладом того, як один погано захищений контейнер може поставити під загрозу цілу екосистему пошуку роботи. Резюме — це не просто PDF-файл. Це набір ключів до цифрової ідентичності людини. І допоки рекрутингові компанії не запроваджують енд-то-енд шифрування, аудитів доступів і моніторингу активності — подібні витоки будуть повторюватися.
