Magyar dolgozók százezreinek adatai váltak szabad prédává

A Profession.hu és a Monster.hu hagyta tárva-nyitva önéletrajz-adatbázisát, a hiba orvoslása már folyamatban van.

Nem elhanyagolható biztonsági hibát szúrt ki két nagy álláskereső portál rendszerében is a HVG: a Profession.hu és a Workania.hu felületén is viszonylag kis erőfeszítéssel bárki számára hozzáférhető volt az álláskeresőkre vonatkozó számos érzékeny információ. A két weboldalon a probléma összesen mintegy 300 ezer felhasználót érintett, mielőtt a Profession.hu leállította a hibáért jelenleg felelősnek vélt promóciós kampányát.

A biztonsági kockázatot a Workania.hu és a legnagyobb hazai álláskereső oldal, a Profession.hu esetében is az jelenti, hogy látszólag semmilyen ellenőrzést nem végeznek, mikor egy új felhasználó munkaadóként regisztrál felületükre. A HVG munkatársai egy sebtében létrehozott email fiók, egy kitalált vállalkozásnév és egy a cégjegyzékből véletlenszerűen kiválasztott adószám birtokában percek alatt regisztrálni tudtak az oldalakra, ahol aztán a munkavállalók teljes önéletrajzi adatbázisához hozzáfértek. Ez a szolgáltatás a Profession.hu esetében az első két hétben ingyenes (volt), utána az árazás már elrettentő lehetett a túl kíváncsi magánszemélyek számára, a Workania.hu viszont csak az álláskeresők elérhetőségére ragaszt árcédulát.

Érdekes módon a Profession.hu legalábbis papíron nem ilyen hanyag a munkáltatói regisztrációk ellenőrzésénél, idén május 24-én, épp a GDPR élesedése előtt frissített felhasználói feltételeiben ugyanis kitér rá, hogy ügyfeleit "a cégnyilvántartásban szereplő adatokkal egyezően a Megrendelő elnevezése, székhelye, cégjegyzékszáma, adószáma, bankszámlaszáma, kapcsolattartó személy neve és elérhetősége" alapján azonosítja. A gyakorlati tapasztalatok azonban egészen mást mutatnak, az online lap munkatársai gond nélkül böngészhettek az oldalon jelenlévő munkavállalók között.

Az így hozzáférhető adatbázisban a Profession.hu oldalán a munkavállalók keresztneve, valamint vezetéknevének első betűje található meg, valamint nyelvtudása, életkora, tapasztalata, munkahelye, a város ahol lakik és fizetési igénye is - de a lap tapasztalatai szerint teljes névre keresve is kidobja a kereső a részben anonimizált találatot. A Workania.hu rendszere szerencsére nem tartalmaz neveket, ugyanakkor a HVG szerint itt sem lehetetlen a munkakereső beazonosítása. Mindenesetre nehéz elképzelni, hogy illetéktelenek a fenti adatokkal hogy élhetnek vissza. Szerencsére a munkaadói regisztráció ellenőrzésének teljes kihagyása nem mondható általános gyakorlatnak a hazai álláskereső oldalakon, az olyan ugyancsak nagy szereplők mint a Monster.hu, a Cvonline.hu vagy a Jobline.hu is felveszi a kapcsolatot a regisztrálókkal, illetve cégadatbázisban is ellenőrzi a vállalkozás adatait, mielőtt elérhetővé teszi számára önéletrajz-adatbázisait.

Felmerül a kérdés, hogy engedhetett meg magának a két nagy online szereplő ilyen hanyag adatvédelmi gyakorlatot, főleg a lassan egy hónapja érvényben lévő, szigorú GDPR árnyékában. Ha az információik adatbázisba való felvételéhez a munkakeresők hozzá is járulnak, nem valószínű, hogy ezt annak tudatában teszik, hogy ez az adatbázis lényegében nyilvánosan hozzáférhető. Mindez ugyanakkor ahogy a HVG által megszólaltatott internetes szakjogász, Ormós Zoltán fogalmaz, önmagában nem tartozik az illetéktelen hozzáférés kategóriájába, inkább "laza szerződéskötési gyakorlat".

Miután a lap az ügyben megkereste a Profession.hu-t, a cég nyilatkozatából kiderült, a probléma valószínűleg június 4-én indított Try&Buy kampányára vezethető vissza, amely a már korábban említett ingyenes próbaidőszakot tartalmazza. A megrendelés során a szolgáltatást igénybe vevő munkaadó elfogadja az ahhoz kapcsolódó szerződési feltételeket és adatkezelési tájékoztatót - ha tehát valaki nem valós adatokkal regisztrál, az illető követ el visszaélést. A fenti tapasztalatok dacára a vállalat itt is hangsúlyozta, folyamatosan ellenőrzi a megrendelő cégeket. A további problémák elkerülése végett mindenesetre a Profession.hu a mai napon leállította a Try&Buy kampányát, és megkezdte az eset kivizsgálását, a jövő hétre pedig részletes tájékoztatást ígér.