Dos 'apps' de búsqueda de empleo filtran por error datos de miles de CV en UK y EEUU

Dos empresas que se encargan de reclutar a trabajadores para diferentes empresas han visto cómo más de 250.000 currículums quedaban expuestos en Internet, revelando así los nombres, direcciones, números de teléfonos o historial profesional de muchos de los que habían contactado con ellas en su proceso de búsqueda de empleo. Tal y como ha revelado la cadena británica 'Sky News', se trata de las compañías Authentic Jobs y Sonic Jobs, una estadounidense y otra británica, utilizadas por grandes compañías como el periódico 'The New York Times' o las cadenas de hoteles Marriott.

La primera, Authentic Jobs —que utilizan firmas como 'NYT' o Ernst & Young, ha dejado expuestos los datos incluidos en más de 220.000 CV, a los que se puede acceder de manera pública. Por su parte, la otra compañía, Sonic Jobs, una 'app' con sede en Reino Unido utilizada por cadenas como Marriott o InterContinental, ha expuesto algo más de 29.000 currículums. Según la citada cadena, el número de afectados podría ser incluso superior, ya que el servicio utilizado para detectar estas 'filtraciones' se actualiza de manera irregular.

TE PUEDE INTERESAR

El gran 'hackeo' de la prostitución española: datos de 'escorts' y clientes, al descubierto

M. Mcloughlin

Tal y como explica 'Sky News', el fallo procede del servicio de almacenamiento de datos en la nube, que recopila toda su información en servidores conectados a Internet. Las empresas configuraron de manera pública las carpetas de Amazon Web Services (AWS) que se utilizan para el almacenaje de los datos (conocidas como 'buckets'), lo que implica que cualqueira que haya solicitado un puesto de trabajo enviando su CV a través de alguna de las dos compañías ha dejado unos datos que son accesibles y descargables para cualquiera que conozca la ubicación de la carpeta en cuestión.

"Estoy preocupado por el hecho de que mi dirección y mi teléfono estén por ahí", ha señalado a la cadena un estudiante que había enviado su currículum para encontrar un trabajo a tiempo parcial y que ha visto cómo sus datos quedaban expuestos. "Confiaba en que esta gente hiciera lo que se supone que tiene que hacer, que es ayudarme a encontrar un trabajo, y ahora cualquiera puede acceder a mis datos", ha criticado.

Inmediatamente después de que 'Sky News' contactara con estas dos compañías, modificaron la configuración de las carpetas de nuevo para que pasaran a ser privadas. "Nos tomamos la seguridad y la privacidad muy en serio, y estamos viendo cómo ha ocurrido", ha señalado Authentic Jobs a la cadena. Por su parte, en otro comunicado Sonic Jobs ha explicado que están revisando cómo el sistema de almacenaje ha podido sufrir este cambio en la configuración para ser público. "Con recursos limitados, dado que somos una empresa pequeña, confiamos en que tomamos medidas razonables y proporcionadas para proteger la confidencialidad, integridad y disponibilidad de nuestros datos comerciales y los datos personales de que disponemos", ha señalado.

"Los peligros de almacenar datos personales"

Estos problemas han sido encontrados por Gareth Llewellyn, investigador en seguridad. "Al encontrar y 'cerrar' estas carpetas podemos proteger a las personas que confiaron en estas compañías y, con suerte, empezar a llamar la atención sobre los peligros de almacenar datos personales de un modo desafortunadamente inseguro", ha indicado. Esta filtración plantea serias dudas acerca de la seguridad de estos 'buckets' de AWS, que han sido configurados accidentalmente para que su acceso sea público por parte de numerosas organizaciones, como Verizon, Dow Jones, GoDaddy o la empresa de lucha libre WWE.

En julio de 2017, más de tres millones de seguidores de la WWE vieron cómo muchos datos sensibles quedaban expuestos después de que la información de la empresa se filtrara a través de una de estas carpetas de AWS. "Amazon debería hacer algo más", ha indicado el consultor de seguridad Richard de Vere a la compañía. "Debería buscar de manera proactiva estos 'buckets' junto a los investigadores", ha añadido. Por su parte, Amazon sostiene que sus careptas son seguras por defecto, ya que "si los clientes utilizan la configuración predeterminada, la carpeta bloquea el acceso de manera que solo puede llegar a él el propietario o el administrador".