Monster.com Mengakui Server Pihak Ketiga Mengekspos Ribuan Resume
Monster.com adalah situs web ketenagakerjaan populer yang berisi database resume yang sangat besar. Platform ini dipercaya oleh milyaran orang di seluruh dunia. Namun, sepertinya situs perekrutan besar seperti itu rentan terhadap pelanggaran data.
Baru-baru ini seorang peneliti keamanan melihat kerentanan di server web yang berisi banyak resume. Sayangnya, Monster.com adalah salah satu platform yang terpengaruh akibat kerentanan ini. Laporan tersebut menunjukkan bahwa server memiliki resume pencari kerja antara tahun 2014 dan 2017. Jelas bahwa server yang terekspos membocorkan beberapa informasi penting terkait dengan pencari kerja tersebut termasuk alamat, nomor telepon, pengalaman kerja sebelumnya, dan alamat email.
Meskipun Monster.com tidak pernah mengumpulkan detail imigrasi, informasi ini juga bocor di file yang terekspos. Pihak berwenang dengan cepat mengambil tindakan yang diperlukan dan menghapus server yang terekspos. Namun, pelaku jahat masih dapat mengakses resume ini dengan bantuan cache mesin pencari.
Menurut Monster, server ini milik agen perekrutan pihak ketiga dan perusahaan tidak lagi bekerja dengan mereka. Situs perekrutan menolak untuk membagikan detail apa pun terkait dengan agen perekrutan. Hal terburuk tentang situasi ini adalah Monster.com tidak memberi tahu pengguna tentang pelanggaran data sejak awal. Perusahaan memberi tahu penggunanya setelah peneliti keamanan melaporkannya.
Pengumpul Data Harus Memberi tahu Pengguna Tentang Pelanggaran
Kami setuju dengan fakta bahwa Monster sendiri tidak terlibat dalam pembobolan data. Namun, situasi ini membuat semua platform ketenagakerjaan dipertanyakan tentang praktik perlindungan data mereka. Kami telah melihat banyak contoh di mana pihak ketiga terlibat dalam pengungkapan data.
Oleh karena itu, pengumpul data bertanggung jawab untuk mengawasi hak istimewa pihak ketiga yang memiliki akses ke data pengguna. Mereka perlu memastikan bahwa pihak ketiga mematuhi kebijakan keamanan siber dari platform tersebut. Hak istimewa harus dibatasi agar sesuai dengan peran mereka.
Mempertimbangkan fakta bahwa Monster.com tidak memperingatkan pengguna itu sendiri, perusahaan semacam itu harus memberi tahu pengguna tentang pelanggaran keamanan yang membahayakan data pribadi mereka. Dampak insiden ini mungkin meninggalkan dampak negatif pada pengguna jika terjadi penolakan. Tidak ada kewajiban hukum pada perusahaan-perusahaan ini untuk memberi tahu pengguna dan regulator tentang insiden semacam itu. Namun, menginformasikan kepada pengguna tentang hal yang sama dianggap sebagai praktik moral.