Több ezer ember személyes adatai szivárogtak ki egy fejvadászcégtől

„Elköszönés nélkül lerakta. Paraszt pasas”

„Asperger szindrómás, vezetői pozícióra nem jó”

„Apja meghalt, nem érdekli új lehetőség”

„NE KERESSÜK!! Kekeckedett és kikérte magának, hogy mi honnan tudjuk a számát”

Ez csak néhány abból a több ezer megjegyzésből, amelyeket egy IT-fejvadász cég, a Switch IT Fejvadász és Tanácsadó Kft. munkatársai fűztek azokhoz a potenciális munkavállalókhoz, akiket a munkájuk során megkerestek. Ezt onnan tudjuk, hogy feltehetően egy hiba miatt egy ideig nyilvánosan elérhető volt a cég egy adatbázisa, tele a fentiekhez hasonló megjegyzések mellett az érintettek személyes adataival és rájuk vonatkozó, potenciálisan érzékeny információkkal is.

Márpedig érintettből elég sok lehet: a munkakörök szerint listákra osztott adatbázisban összesen nagyságrendileg hétezer nevet számoltunk össze,

bár ebben sok átfedés is lehet, szúrópróbaszerű ellenőrzéssel is találtunk ismétlődő neveket, amikor a cikk írásának érdekében belenéztük az adatbázisba. Feltehetően egy élő adatokkal feltöltött tesztadatbázist állíthatott véletlenül nyilvánosra a cég egy munkatársa. A legkésőbbi adatok 2023 márciusából származnak.

Az adatszivárgásra egy Reddit-felhasználó hívta fel a figyelmet, aki véletlenül, a saját emailcímére keresve botlott bele egy kódmegosztó oldalon az adatbázisba, amelyben ő is szerepelt, és az általa indított beszélgetés hozzászólói közül többen szintén megtalálták magukat vagy ismerőseiket. (A Reddit-szálat nem linkeljük, mert bár több helyről már törölték az adatokat, a hozzászólások alapján azok továbbra is megtalálhatóak különféle másolatokban.) Azóta a cég addig üres Google-profilján is elkezdtek gyűlni az adatszivárgás miatt érkező egycsillagos értékelések.

A kategóriákra bontott adatbázisban egyébként a cég profiljának megfelelően többségében informatikusok szerepelnek, de nem kizárólag: többek között építőmérnök, jogász, könyvelő, villanyszerelő, lakatos is található köztük. A megjegyzések alapján sokaknál maga a cég próbálkozott be, de rövid úton lepattantak. Ismerős nevek is feltűnhetnek, az etikus hekkerek listáján például egy neves szakember is szerepel.

Érzékeny részletek

Kétségtelenül találni a listákon számos belső használatra szánt, etikailag megkérdőjelezhető megjegyzést – például hogy egy-egy munkakereső túl idős, dadog, túl kövér, bunkó, és így tovább –, de ennél jóval aggályosabb, hogy személyes adatok, illetve potenciálisan érzékeny információk is kikerültek a cégtől.

Az érintettek név mellett általában szerepel az emailcímük, a telefonszámuk, a LinkedIn-profiljuk, illetve olyan szakmai részletek is, mint hogy milyen programnyelveket, adatbázis-kezelőket ismernek, milyen az angoltudásuk, hány év tapasztalattal rendelkeznek. Van, akiről az is kiderül, épp hol dolgozik, és maradna-e ott, vagy nyitott más lehetőségre. Többeknél szerepel a megjegyzések között olyasmi is, hogy az illető hány éves, mi a bérigénye, külföldre költözött, és így tovább.

Mindez a konkrét személyes adatok, mint a privát telefonszám vagy emailcím kikerülése mellett azért is problémás, mert ha ilyen információk összekapcsolva rendelkezésre állnak, az jelentősen megkönnyítheti célzott adathalász támadások indítását is, például ha egy hekker egy konkrét cég hálózatára keres belépési pontként egy alkalmazottat. Sok helyen az is szerepel, hogy melyik cégnek vadászva keresték meg az illetőt, illetve hogy mit szólt a dologhoz, ami szintén érzékeny információ lehet, ha a jelenlegi munkáltatója elé kerül.

A munkakeresők vagy a cég által megkörnyékezettek mellett szerepel az adatbázisban egy „sales” nevű külön lista is olyan cégekről, amelyeknek már a partnere a Switch IT, vagy amelyeknél szeretne bepróbálkozni. Ezen több mint 1200 cég található, és több száznál olyan információk is szerepelnek, mint a cégvezető telefonszáma.

A legfontosabb szempont a diszkréció

A Switch IT Fejvadász és Tanácsadó Kft.-t 2017-ben alapították, két magánszemély a tulajdonosa. A cég pénzügyi teljesítménye jelentősen visszaesett tavaly, a nettó árbevétele a 2022-es 80 millióról 51 millióra, az az adózott eredménye 16 millióról 5 millióra csökkent. Érdekesség, hogy a cégadatbázis szerint a cég létszáma mindössze négy fő, de a LinkedIn-oldalán ennek többszöröse van feltüntetve jelenleg is ott dolgozóként.

Részletes adatvédelmi tájékoztató nem érhető el a cég honlapján, de az „Etikai alapelvek, adatvédelem” menüpont alatt többek között azt írják, „az informatikai toborzás során részünkre szolgáltatott információkat, mind a jelöltek és ügyfeleink részéről, szigorúan bizalmasan kezeljük […]. A közvetlen megkeresés és IT fejvadász tevékenység során a legfontosabb szempont a diszkréció. Jelöltjeink elérésénél nagy hangsúlyt fektetünk a jelöltek jelenlegi státuszának megörzésére és tiszteletben tartására […] A felvett, tárolt, illetve kezelt adatok jogosulatlan felhasználásának megkadályozása érdekében cégünk megtesz minden technikai, szervezési és szabályozási intézkedést. […] Az érintett személy kérésére minden releváns adat tárolását megszüntetjük”.

Természetesen egy adatszivárgás nem a szabályok tudatos megsértése a cég részéről, de az adatkezelési gyakorlatukkal kapcsolatban beszédes részlet, hogy a szivárgásban érintett egyik felhasználó neve mellett ez a megjegyzés szerepel: „NE HÍVJUK! Kérte, hogy töröljük a telszámát. Amúgy pedig egy címeres önérzetes paraszt” – majd egy másik rubrikában ott a törölni kért telefonszám is.

Cikkünk megjelenése előtt kerestük a Switch IT Kft.-t a történtekkel kapcsolatban. Azt kérdeztük a cégtől, hogy valóban tőlük kikerült adatokról van-e szó, és ha igen, mikor és hogyan értesültek a szivárgásról, maguk vették-e észre, vagy külső jelzés alapján jutott tudomásukra. Megkérdeztük azt is, milyen hiba okozta a szivárgást, hány ember személyes adatai érintettek, és pontosan milyen típusú adatok szivárogtak ki, illetve értesítették-e minderről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH). A NAIH-nál is érdeklődtünk, hogy érkezett-e hozzájuk bejelentés az incidensről, ha igen, azt maga az érintett cég tette-e, és indul-e hatósági vizsgálat az ügyben. Ha érkezik reakció, beszámolunk róla.