Myrocket HR平台的数据泄露变成了员工的隐私噩梦

2022 年 12 月 12 日，Cybernews 研究团队发现了一个可公开访问的数据库，其中包含属于 myrocket.co 的 260GB 敏感个人数据，为印度的公司提供“端到端”招聘解决方案和人力资源服务。

据估计，泄漏影响了近20万名员工和近900万求职者。研究人员警告说，此类数据泄露是危险的，因为它们可能有助于威胁行为者制定有针对性的网络钓鱼活动，协助伪造和身份盗用，并诱骗公司付款。

该公司表示，该问题是由配置错误引起的，并在收到通知后修复了该问题。发现的数据库不受身份验证保护。安全漏洞导致数百万份私人文件被泄露给公众。令人担忧的是，它还允许威胁行为者修改数据，更改工资金额和用于支付工资的银行账户的详细信息。

研究人员发现了大约 435，000 张工资单、300 份税务申报、3，800 份保险支付文件和 21，000 份工资单，这些工资单属于使用人力资源平台服务的各种公司。

该数据库包含员工的详细、敏感和个人身份信息 （PII），包括姓名、纳税人信息、个人身份证号码、电子邮件、电话号码、银行详细信息、父母姓名、出生日期、工资、工资单、员工角色、保险和税务信息、工作合同、地址，甚至个人文件的复印件，如驾驶执照或选民身份证。

Cybernews联系了 myrocket.co，该公司解决了这个问题。该公司的代表表示，该漏洞的根本原因是新创建的 Kibana 实例配置不正确。为了保证用户数据的安全，该公司声称已开始对此事进行内部调查。

原文始发于微信公众号（黑猫安全）：Myrocket HR平台的数据泄露变成了员工的隐私噩梦