Magyar dolgozók százezreinek adatai váltak szabad prédává

Nem elhanyagolható biztonsági hibát szúrt ki két nagy álláskereső portál rendszerében is a HVG: a Profession.hu és a Workania.hu felületén is viszonylag kis erőfeszítéssel bárki számára hozzáférhető volt az álláskeresőkre vonatkozó számos érzékeny információ. A két weboldalon a probléma összesen mintegy 300 ezer felhasználót érintett, mielőtt a Profession.hu leállította a hibáért jelenleg felelősnek vélt promóciós kampányát.

A biztonsági kockázatot a Workania.hu és a legnagyobb hazai álláskereső oldal, a Profession.hu esetében is az jelenti, hogy látszólag semmilyen ellenőrzést nem végeznek, mikor egy új felhasználó munkaadóként regisztrál felületükre. A HVG munkatársai egy sebtében létrehozott email fiók, egy kitalált vállalkozásnév és egy a cégjegyzékből véletlenszerűen kiválasztott adószám birtokában percek alatt regisztrálni tudtak az oldalakra, ahol aztán a munkavállalók teljes önéletrajzi adatbázisához hozzáfértek. Ez a szolgáltatás a Profession.hu esetében az első két hétben ingyenes (volt), utána az árazás már elrettentő lehetett a túl kíváncsi magánszemélyek számára, a Workania.hu viszont csak az álláskeresők elérhetőségére ragaszt árcédulát.

Érdekes módon a Profession.hu legalábbis papíron nem ilyen hanyag a munkáltatói regisztrációk ellenőrzésénél, idén május 24-én, épp a GDPR élesedése előtt frissített felhasználói feltételeiben ugyanis kitér rá, hogy ügyfeleit "a cégnyilvántartásban szereplő adatokkal egyezően a Megrendelő elnevezése, székhelye, cégjegyzékszáma, adószáma, bankszámlaszáma, kapcsolattartó személy neve és elérhetősége" alapján azonosítja. A gyakorlati tapasztalatok azonban egészen mást mutatnak, az online lap munkatársai gond nélkül böngészhettek az oldalon jelenlévő munkavállalók között.

Jelentős megtakarítás az OpenStack Cloud Pro szerver szolgáltatással (x) Használja ki az Openstack-alapú virtuális szervereinkre szóló 50%-os kedvezményt az első 3 hónapra - igény szerint óránkénti, havi vagy éves díjszabással!

Az így hozzáférhető adatbázisban a Profession.hu oldalán a munkavállalók keresztneve, valamint vezetéknevének első betűje található meg, valamint nyelvtudása, életkora, tapasztalata, munkahelye, a város ahol lakik és fizetési igénye is - de a lap tapasztalatai szerint teljes névre keresve is kidobja a kereső a részben anonimizált találatot. A Workania.hu rendszere szerencsére nem tartalmaz neveket, ugyanakkor a HVG szerint itt sem lehetetlen a munkakereső beazonosítása. Mindenesetre nehéz elképzelni, hogy illetéktelenek a fenti adatokkal hogy élhetnek vissza. Szerencsére a munkaadói regisztráció ellenőrzésének teljes kihagyása nem mondható általános gyakorlatnak a hazai álláskereső oldalakon, az olyan ugyancsak nagy szereplők mint a Monster.hu, a Cvonline.hu vagy a Jobline.hu is felveszi a kapcsolatot a regisztrálókkal, illetve cégadatbázisban is ellenőrzi a vállalkozás adatait, mielőtt elérhetővé teszi számára önéletrajz-adatbázisait.

Felmerül a kérdés, hogy engedhetett meg magának a két nagy online szereplő ilyen hanyag adatvédelmi gyakorlatot, főleg a lassan egy hónapja érvényben lévő, szigorú GDPR árnyékában. Ha az információik adatbázisba való felvételéhez a munkakeresők hozzá is járulnak, nem valószínű, hogy ezt annak tudatában teszik, hogy ez az adatbázis lényegében nyilvánosan hozzáférhető. Mindez ugyanakkor ahogy a HVG által megszólaltatott internetes szakjogász, Ormós Zoltán fogalmaz, önmagában nem tartozik az illetéktelen hozzáférés kategóriájába, inkább "laza szerződéskötési gyakorlat".

Miután a lap az ügyben megkereste a Profession.hu-t, a cég nyilatkozatából kiderült, a probléma valószínűleg június 4-én indított Try&Buy kampányára vezethető vissza, amely a már korábban említett ingyenes próbaidőszakot tartalmazza. A megrendelés során a szolgáltatást igénybe vevő munkaadó elfogadja az ahhoz kapcsolódó szerződési feltételeket és adatkezelési tájékoztatót - ha tehát valaki nem valós adatokkal regisztrál, az illető követ el visszaélést. A fenti tapasztalatok dacára a vállalat itt is hangsúlyozta, folyamatosan ellenőrzi a megrendelő cégeket. A további problémák elkerülése végett mindenesetre a Profession.hu a mai napon leállította a Try&Buy kampányát, és megkezdte az eset kivizsgálását, a jövő hétre pedig részletes tájékoztatást ígér.