회사명 및 위치: 영국에 본사를 둔 FastTrackReflectionReciption 회사 (현재 TeamResourceingLtd 의 일부).
크기: 5GB 데이터 유출, 2 1000 노출 파일.
데이터 저장 형식: AWSS3 배럴.
영향을 받는 국가: 유럽, 서아시아, 미국 출신이지만 주로 영국 시민에게 영향을 미친다.
Planetresearch 웹사이트 팀은 이전에 FastTrackReflection (현재 TeamBMS, TeamResourceing 의 일부) 으로 알려졌던 이 회사의 소유였던 잘못 구성된 통을 발견하여 수천 명의 구직자 개인 정보가 포함된 이력서를 공개했다. 많은 이력서에는 여권, 시민 신분증, 운전면허증, 기술자 신분증 등 신청자의 개인 신분증이 첨부되어 있다.
유출된 고객 데이터는 데이터베이스의 파일에서 다음과 같은 여러 문서 형식을 발견했습니다. Pdf' 와' 이 의사가 이번 위반 사건에서 유출한 이력서에는 신청자 PII 를 직접 간접적으로 식별할 수 있는 사례가 많이 포함되어 있다.
이력서에서 직접 식별 할 수있는 개인 식별 번호는 다음과 같습니다.
전체 이름 이메일 주소 S3 휴대폰 번호 집 주소 3 부 신청자의 소셜네트워크서비스 주소 (예: Linkedin, 페이스북, 트위터).
유출된 이력서에서도 간접적으로 식별할 수 있는 개인 신분 번호의 예를 찾을 수 있습니다. 예를 들면 다음과 같습니다.
교육/전문 정보 개인 취미/관심
많은 이력서에 첨부된 개인 ID 에는 신청자 PII 의 다른 샘플이 포함되어 있습니다. 많은 원시 이력서에서 찾을 수 없는 세부 사항은 다음과 같습니다.
생년월일 여권번호 신청자 사진
FastTrack 은 Amazon 웹 서비스에서 대여할 수 있는 공용 클라우드 스토리지 리소스인 AWSS3Bucket 에 신청자의 데이터를 저장합니다. 하지만 서버 구성은 아마존의 책임이 아니다.
5GB 데이터에 해당하는 2 1000 개의 클라이언트 파일 (복제본 포함) 은 FastTrack 의 버킷에서 보호되지 않습니다. 이 서류들은 전 영국의 브랜드 및 조직과 협력하는 사람들에게 속한다.
유출된 민감한 고객 데이터는 해커에 의해 각종 범죄 활동에 사용될 수 있다. 다음은 이력서와 개인 신분증 유출의 예입니다.
우리가 볼 수 있는 최신 문건은 2020 년 2 월에 나온 것이다. FastTrack 의 웹 사이트를 통해 작업 신청을 시도한 후 서버에 새로운 기록이 나타나지 않았습니다. 최근 FastTrack 의 합병을 고려해 볼 때, 서버가 발견되었을 때 실시간도 아니고 정기적으로 업데이트되지도 않은 것으로 생각된다.
수천 명의 사람들이 영향을 받을 수 있다. 데이터베이스에는 대량의 이력서와 신분증이 저장되어 있다. 모든 지원자가 이력서와 ID 를 업로드해도 1 만여 명이 영향을 받는다. 사람들은 데이터베이스에 저장된 cv 가 id 보다 많다고 생각하지만 cv 와 id 의 정확한 비율은 알 수 없습니다. 다른 연락처의 정보 (예: 전문 추천인) 도 노출될 수 있습니다.
FastTrack 은 주로 영국에 위치한 회사와 협력하는데, 몇몇 외국 시민들이 이 위반 사건에 휘말렸다. 그러나, 이 국민들은 아마도 영국 주민일 것이며, 우리는 FastTrackReflection 의 어떤 국제 업무도 모른다.
이번 폭로로, FastTrack 은 GDPR 과 영국의' 20 18 데이터 보호법' 의 입법 조치를 받을 수 있다.
FastTrackReflection 은 BMS (building management system) 산업에 초점을 맞춘 채용 회사입니다. 202 1 1 연말에 FastTrackReflection 채용 회사 (현재 "팀 BMS") 와 자매 회사 "팀 판매" 가 합병되었습니다. 합병된 회사는 TeamResourceing 이라는 EmpresariaGroupPLC 의 소유이며, 그 부서 중 하나는' TeamBMS' 이다.
FastTrack Recruitment 는 영국 각지의 대형 프로젝트를 위해 BMS 인재를 구매한 기업 대 기업 회사입니다. FastTrack (또는 TeamBMS) 은 주로 영국 시민과 협력하고 있으며, 우리는 이 회사가 국제적 차원에서 운영되고 있는지 알 수 없습니다. 유럽, 서아시아, 미국의 시민 기록은 FastTrack 서버에서 찾을 수 있지만 이들 외국인 시민 중 많은 사람들이 영국에 거주할 수 있습니다.
CV 는 이미 이 집단에서 감정되었다. 그중 일부는 여권, 운전면허증, 기술노동자 자격증을 포함한다. FastTrack 의 데이터베이스에서 여러 국가에서 발표된 여러 가지 다른 유형의 개인 id 가 발견되었습니다.
누가 데이터를 유출했습니까? 현재 팀 BMS 인 fasttrack reflection recovery recovery 는 빌딩 관리 시스템 업계에서 20 년 이상의 채용 경험을 보유하고 있습니다.
FastTrack 은 빌딩 관리 시스템의 설계, 디버깅 및 서비스를 용이하게 합니다. 영국 서사섹스 카운티에 본사를 둔 FastTrack 은 영국의 세계적으로 유명한 건축 프로젝트 등에 사용되었습니다.
FastTrack 은 경기장 (웸블리와 올림픽 경기장), 관광부두 (히드로 5 터미널과 크로스레일) 및 기타 개인 프로젝트 (화이트 시티, 아스트라제네카, 바트시 발전소) 는 말할 것도 없이 Bishop 22, Fenchurch Street 20, Shade 등의 고층건물에 채용을 제공합니다
이 데이터 유출은 FastTrackReflectIT 팀/서비스 공급업체의 인적 오류로 인해 발생할 수 있습니다. Amazon 은 FastTrack 데이터베이스의 구성이나 데이터 유출에 대한 책임을 지지 않습니다.
신청자에 대한 영향은 FastTrack 의 AWSS3 통이 보호되지 않고 안전하지 않지만, 불법 해커가 오픈 버킷을 찾아 FastTrack 의 고객 데이터를 다운로드, 유출 또는 배포했는지 알 수 없습니다.
그러나 노출될 경우 해커가 이미 서버를 방문했을 수 있습니다. 해커는 개인 데이터를 사용하여 다양한 범죄 활동을 수행할 수 있습니다.
주소 사기, 신원 도용, 신원 도용 및 사기-이름, 주소, e-메일, 전화 번호 및 개인 정보 (예: 개인 교육 및 전문 정보) 는 해커가 관련 피해자를 식별하는 데 사용할 수 있습니다. 계정 액세스 권한을 얻거나 피해자의 동료들과 신뢰를 쌓거나 여러 플랫폼 간 사기 공격을 통해 피해자를 잠글 수 있습니다. 예를 들어, 해커는 이름과 주소를 통해 우편 주소를 선택한 위치로 변경하고, 은행 영수증 및 금융 이메일을 가로채고, 이러한 세부 정보를 사용하여 계좌에서 수표와 새 신용 카드를 주문할 수 있습니다. 사기, 피싱, 맬웨어-범죄자들은 이메일이나 전화로 피해자에게 연락하여 개인 정보에 대한 신뢰를 쌓을 수 있다. 전화상으로, 이 범죄자들은 피해자의 돈을 속이려고 시도하거나 다른 범죄 활동에 종사할 수 있는 정보를 찾을 수 있습니다. E-메일을 통해 범죄자들은 악의적인 피싱과 맬웨어가 피해자의 장치로 다운로드될 수 있는 링크를 클릭하도록 유도할 수 있다. 기업 스파이 활동-다른 회사는 FastTrack 의 고객 목록을 찾아 FastTrack 으로부터 정보를 알아내거나 FastTrack 이 어떻게 업무를 수행하는지 알아보려고 할 수 있습니다. 절도-개인 정보, 특히 집 주소는 절도나 강도를 실시하는 패스트 트랙 고객의 가족을 상대하는 데 사용될 수 있습니다.
데이터 프라이버시법 FastTrack 의 업무는 영국 전역의 개인을 대상으로 한다. 우리는 FastTrack 이 준수할 수 있는 모든 법률을 알지 못하지만, FastTrack 이 정부의 심사를 받을 것이라고 상상할 수 있다. 고속 통로는 유럽연합 시민에 대한 영향으로 GDPR 법률을 위반했다. GDPR 은 유럽 연합 시민의 데이터가 세계 어느 곳에서 잘못 처리되든 영향을 미칩니다. GDPR 은 기업이 데이터를 안전하게 처리하고 기술 및 조직 조치를 취해야 한다고 생각합니다. GDPR 위반에 대한 최대 처벌은 약 2000 만 유로의 벌금 또는 해당 회사의 연간 매출의 4% (높은 자 기준) 입니다.
영국은 탈유럽 이후' 20 18 데이터 보호법' 형식으로 GDPR 법률을 보존했다. 이 법안에 따르면 최대 벌금은 약 2000 만 유로 또는 회사의 연간 매출의 4% (높은 사람 기준) 이다. FastTrack 은 위반 사항을 보고하지 못했기 때문에 654 만 38+00 만 유로의 벌금 또는 연간 매출의 2% 에 노출될 수 있습니다.
이러한 데이터 손실은 또한 FastTrack 의 명성을 손상시켜' 부정적인 홍보' 를 초래하고 FastTrack 과 거래하려는 기업과 고객을 줄일 수 있습니다.
FastTrack 은 고객의 데이터를 제대로 보호하지 못했기 때문에 이들을 범죄 활동의 위험에 빠뜨렸습니다. FastTrack 과 고객 간에 신뢰 단절의 요소가 있어 고객이 자신의 업무를 다른 채용 회사로 이전할 수 있습니다.
경쟁 스파이 FastTrack 의 경쟁업체는 유출된 고객 목록을 볼 수 있다. 이들 경쟁업체는 FastTrack 고객에게 연락하여 FastTrack 에서 이 업무를 제거할 수 있습니다.
고객 또는 커머셜 회원으로 위장한 경쟁업체는 FastTrack (현재 팀 BMS) 에게 연락할 수 있습니다. 고객 정보와 개인 데이터를 통해 신뢰를 쌓은 후 해커는 FastTrack 업무 운영에 대해 더 자세히 알 수 있습니다.
데이터 유출 상황 노출된 모든 데이터는 정확하며 FastTrackReflection (현재 TeamBMS) 이 모집한 고객과 관련이 있습니다. 이번 폭로로 발견된 모든 기록은 실물에 속한다.
2020 년 2 월 29 일 누출 +65438 이 발견되었습니다. 며칠 동안의 연구 끝에 우리는 이 통이 FasTrackReflection 에 속한다는 것을 발견했다.
202 165438+ 10 월 12 및 15 연락처 FastTrackReflection 노출 정보, 3 여러 차례 이 회사에 연락을 시도한 후, 사회자는