Het onderzoek van het CCVT richt zich op het monitoren van openbare buckets op verschillende cloudplatforms, zoals Amazon Web Services, Azure Blob Storage, Digital Ocean Spaces en Google Cloud platform. Door te zoeken naar relevante keywords voor hun klanten op domeinen, merknamen, samenwerkingen, projecten en applicaties, identificeert het CCVT potentieel risicovolle datalekken.
“In de meeste gevallen vinden wij data die ook daadwerkelijk openbaar hoort te zijn, zoals statische web content of afbeeldingen. In dit specifieke geval ontdekte wij een grote hoeveelheid CV’s, inclusief gevoelige, persoonlijke gegevens, zoals namen, adressen, telefoonnummers en werkgeschiedenis”
Door een fout in de configuratie waren deze voor iedereen toegankelijk via /media/forms/upload. “Wij troffen maar liefst 1.969 CV’s aan, verzameld over een periode van 11 februari 2022 tot 23 februari 2024. Ze waren afkomstig van kandidaten verspreid over de hele wereld, waaronder het Verenigd Koninkrijk, Frankrijk, Luxemburg en België.
Het CCVT deed een ‘responsible disclosure’ melding van de kwetsbaarheid bij de betreffende organisatie. Het technologiebedrijf reageerde snel door de public network access in Azure uit te schakelen, waardoor de gelekte persoonsgegevens niet langer toegankelijk waren.
Alles bij de bron; DutchITChannel