Megszólalt a fejvadászcég, ahonnan több ezer ember adatai szivárogtak ki: Egy külsős fejlesztő hibázott

Közleményben reagált a Switch IT Kft. arra a hétfőn napvilágot látott adatszivárgásra, amelyben több ezer olyan ember személyes adatai kerültek nyilvánosságra, akiket az IT-fejvadász cég munkatársai potenciális munkavállalóként megkerestek. A szerda délelőtt kiadott közleményben bocsánatot kérnek, egy külső fejlesztő hibáját teszik felelőssé a történtekért, a kifogásolható stílusú kommentek miatt pedig, amelyeket a cég fejvadászai az érintettekhez fűztek, belső vizsgálatot ígérnek. Elértük a cég egyik tulajdonos-ügyvezetőjét is, aki azt is megindokolta, miért írták át az incidens kiderülése után az összes munkavállalójuk munkahelyét egy nem létező cégre a LinkedInen.

A személyes adatok és más belső céges információk egy kódmegosztó oldalon voltak nyilvánosan elérhetőek, itt botlott beléjük a szivárgás egyik érintettje, aki a Redditen számolt be a dologról. Ezután a fórumban és az interneten máshol is nagy hullámokat vert az incidens, egyrészt a rengeteg személyes adat és potenciálisan érzékeny információ, másrészt az érintettekhez fűzött, jórészt meglehetősen nyers és sértő megjegyzések miatt.

Ők sem tudják, miért lettek nyilvánosak az adatok

A cég közleménye szerint a szivárgást egy külső fejlesztő gondatlansága okozta: „2022-ben a Switch IT megbízott egy külsős fejlesztőt egy saját vállalatirányítási rendszer programozására. A rendszer elkészültét követően, 2023 márciusában üzembe helyezés alá került. Ekkor a kért adatokat továbbítottuk a fejlesztő részére, melyeket .csv fájlokká exportált és feltöltötte egy külső tárhelyszolgáltatónál lévő szerverre, azonban az adatokat nemcsak a Switch IT rendszerébe töltötte fel, hanem a saját nyilvános GitHub tárolójába is. Sajnos arra mi sem kaptunk magyarázatot, hogy miért került feltöltésre az adatbázis a GitHubra és miért volt nyilvános. A Switch IT Kft. vezetőinek és munkatársainak sem volt erről tudomása. Különösen fontos kiemelnünk, hogy a Switch IT jelenleg is működő rendszeréből nem szivárgott ki semmilyen adat.”

Hozzáteszik, hogy „a hibát egyértelműen a fejlesztő követte el, azonban ez nem szándékos cselekedet volt, és nem állt mögötte rosszindulat”, és az incidens kiderülése óta az illető együttműködik velük a károk minimalizálásában. „Amint tudomásunkra jutott a szivárgás, haladéktalanul megkezdtük a másolatok letiltását, a Reddit bejegyzés törlésének kérelmezését, valamint kapcsolatba léptünk IT biztonsági szakemberekkel. Jogi tanácsadást kértünk, hogy megfelelően járjunk el és bejelentést tettünk a NAIH felé. Azóta is a fejlesztő és a Switch IT is folyamatosan figyelemmel kíséri a GitHubot, Redditet és egyéb felületeket, hogy mihamarabb megakadályozza a bizalmas adatok további terjedését” – írják.

Arra nem tér ki a közlemény, hogy magának a cégnek lehet-e felelőssége a történtekben azzal, hogy esetlegesen nem megfelelő módon osztották meg a külső fejlesztővel az adatokat; de a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata minden bizonnyal erre kis kitér majd.

„Az adatbázisban található etikailag is kifogásolható belső megjegyzések mélyen sajnálatosak. Az ilyen megjegyzéseket haladéktalanul töröljük és belső vizsgálatot is indítunk. Ezek az esetek nem tükrözik a cég értékrendjét és elkötelezettségét a diszkrét és tiszteletteljes adatkezelés iránt. Elkötelezettek vagyunk, hogy hasonló eset többé ne forduljon elő.”

A cég holnapja a történtek után nem sokkal elérhetetlenné vált. Erről a közlemény azt írja, hogy ők maguk deaktiválták az oldalt, „mivel még aznap két DDoS támadás is érte, melyet a külső szolgáltató jelzett”. Az nem derül ki és természetesen kívülről nem is deríthető ki, hogy valóban – akár az eset miatti felháborodásból indított – támadások történtek-e, vagy csak az incidens napvilágra kerülése és cikkünk megjelenése utáni fokozott érdeklődés miatt irányult-e szokatlanul nagy forgalom az oldalra. „Még egyszer elnézést kérünk minden érintettől, és köszönjük a megértésüket és türelmüket” – zárul a cég közleménye.

Egy-két kommenten az ügyvezető is meglepődött

Bár a személyes adatok kikerülése a súlyosabb része, nem meglepő módon a potenciális munkavállalókhoz fűzött sértő kommentárok kapták a nagyobb figyelmet az üggyel foglalkozó fórumokban. Egy felhasználók annyira megihlettek ezek a megjegyzések , hogy létrehozott egy „Get Roasted by a Recruiter”, azaz „Alázzon meg egy toborzó” nevű oldalt, ahol egy gombra kattintva a kiszivárgott kommentárok közül kapunk egyet véletlenszerűen, természetesen anonimizálva. Született azonban egy ennél komolyabb kezdeményezés is: ezen az oldalon az emailcíme megadásával bárki ellenőrizheti, hogy érintett volt-e a szivárgásban.

A közlemény kiadása után sikerült elérnünk telefonon a Switch IT egyik tulajdonos-ügyvezetőjét, Dávid Attilát. Mivel a közlemény után is sok hozzászóló hitetlenkedett, hogy egy ilyen kis cégben tényleg ne ismerte volna mindenki a felháborodást kiváltó kommenteket, erre külön is rákérdeztünk nála. „Amikor átküldésre kerül egy jelölt, akkor készül róla egy jelentés, azt mindig megnézzük mint vezetőség, de azt, hogy napi szinten XY kolléga milyen jelölthöz mit írt be, azt nem szoktuk, nehéz lenne mind megnézni” – mondta. Csak annál a jelöltnél nézik meg, aki átment a szűrőn, „de ahhoz meg ugye nem írtak be ilyen megjegyzéseket” – tette hozzá Dávid Attila, aki maga is elismerte a kommentárokról, hogy „azért volt egy-kettő, amin, megmondom, eléggé meglepődtem, hadd fogalmazzak így”.

Megismételte, amit a közleményben is írtak, hogy ők sem értik, a külsős fejlesztő miért töltötte fel nyilvánosan a kódmegosztó oldalra az adatokat. Természetesen rákérdeztünk, hogy erre maga a fejlesztő mit mondott nekik most, a szivárgás napvilágra kerülése után, de az ügyvezető szerint, bár az illető most együttműködő, és ők is számonkérték ezzel kapcsolatban, erről „nem tudtunk hasznos infót kiszedni belőle”.

Miért kezdett hirtelen eltűnni a cég neve az alkalmazottak profiljáról?

Az incidens napvilágra kerülése után nem sokkal többeknek feltűnt, hogy azoknak az alkalmazottaknak a LinkedIn-profilján, ahol addig a Switch IT Kft. volt megjelölve munkahelyként, egyszer csak visszamenőleg is egy új cégnév jelent meg: Bridge Recruit. Ez alapján sokan arra következtettek, hogy a cég így próbálhat meg eltűnni a felelősségre vonás elől, és ez lehet a neve annak az új cégnek, ahol majd folytatják a tevékenységüket. Ilyen nevű magyar cég egyébként jelenleg nem létezik, de a spekulációk hatására valaki bejegyezte a Bridgerecruit.hu oldalt, nyilvánvalóan viccből, hiszen a cím a Telex hétfői cikkére irányít át. (A rend kedvéért: nem mi voltunk!)

Az is többekben felmerült, hogy az átnevezéseknek közül lehet ahhoz, hogy – mint hétfői cikkünkben mi is megjegyeztük – a cégadatbázis szerint a cég négyfős, a LinkedInen azonban ennél jóval több munkatársuk van fent. Ez egyébként most is így van, az átnevezések ellenére a céghez kötődő dolgozók jelenleg is a cég alatt jelennek meg az oldalon.

Megkérdeztük Dávid Attilát, mivel magyarázza az átnevezéseket. Mint mondta, a történtek után a szivárgás miatt felháborodott emberek elkezdtek a munkatársaknak közvetlenül írogatni „nem túl pozitív dolgokat”, és az ő védelmükben állították át a munkahelyükre vonatkozó információt, „hogy ezek az emberek, akik nem tehetnek róla, ne legyenek macerálva”. Ezeknek a munkavállalóknak egy része ráadásul külsősként, illetve részmunkaidősként dolgozik nekik – tette hozzá. Ez magyarázza azt is, hogy miért voltak többen a LinkedInen a cég dolgozói, mint a cégadatbázisban.