300 ezer magyar munkakereső szenzitív adatai váltak elérhetővé a neten
Mennyit érne, hogy megtudja, a beosztottjai, munkatársai, ismerősei, esetleg a főnöke nem elégedett a munkahelyével, és már javában másik állást keres? És ha a fizetési igényüket is megismerhetné? Nos, van egy jó – valójában borzasztóan rossz – hírünk: talán egy gondatlanságot kihasználva mindezt egyszerűen és ingyen megszerezheti.
Felfedeztük, hogy a piacvezető álláskereső portál önéletrajz-adatbázisához néhány napja bárki hozzáférhet. Kiderült, ugyanez a lehetőség egy másik karrieroldalon is megvan.
Az adatbázisból egy cégnév beírásával sok személyes, kifejezetten érzékeny adat elérhető. Konkrét személynévre is lehet keresni.
A jelenséget jeleztük az adatokat nyíltabb formában közlő Profession.hu-nak. Cikkünk megjelenése előtt hagytunk időt arra, hogy bezárhassák a kiskaput.
Nem zárták be, így 300 ezer ember munkahelyváltási szándéka és sok esetben fizetési igénye is pofonegyszerűen megismerhető.
Frissítés: cikkünk megjelenése után órákkal, pénteken délelőtt 10 óra után a Profession.hu végül mégis megszüntette a vonatkozó lehetőséget.
Egy random gmailes e-mail-cím, egy fiktív vállalkozás neve, a cégjegyzékből találomra kiválasztott – nem mellesleg végelszámolás alatt lévő – társaság adószáma, illetve még néhány más fals cégadat. Ennyi kellett hozzá, hogy „munkaadóként” regisztráljunk Magyarország piacvezető állásportálján – és egy kisebb állásoldalon is –, amely próbaidő alatt ellenszolgáltatás nélkül, és tapasztalatunk szerint nem kellőképpen alapos ellenőrzés mellett néhány kattintás után megengedi, hogy álláskínáló cégként teljes önéletrajzi adatbázisából magánemberek igen érzékeny adataihoz hozzáférjünk.
A Profession.hu-ra regisztrálás után adataink hitelességét láthatóan senki nem ellenőrizte. Hiszen több napja be tudunk lépni a leírt módon létrehozott fiókba, sőt újakat is regisztrálni tudtunk. Ugyanezt tapasztaltuk a szintén sokak által használt Workania.hu oldalon is. A két oldal adatbázisában együtt nagyjából 300 ezer személy (aktivált) önéletrajza található meg.
Egyes állásportálokhoz beregisztrált – aktivált, kereshetőnek minősített – önéletrajzok száma |
Profession.hu 292 000+ cv Jobline.hu 260 000+ cv Allas.hu 100 000+ cv Cvonline.hu 90 000+ cv Monster.hu 40 000+ cv Workania.hu 20 000+ cv |
Egy más által, de hasonló módon létrehozott fiókkal az oldalra belépve a keresővel könnyedén megtaláltuk az aktív álláskeresők között jelenlegi és volt kollégáinkat, ismerőseinket, és sok más munkakeresőt. (Cégnévre is kereshetünk, de akár konkrét személynevet is beírhatunk.) Egy egyszerű szűrőfeltétel megadásával azt is megtudtuk, ki mennyire aktív álláskereső, belépett-e az oldalra az elmúlt 60, 30, 14, 7, 3 vagy 1 napban. Ez ugyanis beszédes információ arról, hogy az illető valóban állást keres-e, vagy csak egy évekkel korábban regisztrált, elfelejtett adatlapról van szó.
A portál keresője által kidobott találatok táblázata elsőre nem tűnik veszélyesnek. Az oszlopok: részben anonimizált név, nyelvtudás, tapasztalat, esetleg munkahely és fizetési igény. De viszonylag könnyen beazonosítható bárki, akit jobban ismerünk: rá lehet jönni, hogy kit takar a kezdőbetűvel anonimizált családnév – életkorral, illetve városszintű, Budapesten belül kerületre pontos lakóhellyel. Ha mégsem vagyunk egészen biztosak a találatban, és rákeresünk az illető teljes nevére, akkor a rendszer (egyezés esetén) rendre kidobja ugyanazt a „monogramos” találatot. A Workania.hu annyiban más, hogy itt neveket nem látunk, de más elérhető adatokból elképzelhető, hogy mégis azonosítható a munkakereső.
Az alábbi, a Profession.hu-ról lementett képernyőképen a személyes beazonosításra alkalmas információk közül a lakhelyre, életkorra, aktuálisan betöltött pozícióra, nyelvtudásra és bizonyos esetben a ritka családnevek kezdőbetűjére vonatkozó információkat kitöröltük. Ezek valójában ott szerepelnek a találati listában.
Az így nagy biztonsággal beazonosítható felhasználó(k) összes általuk rögzített információja – köztük az aktuálisan betöltött pozíciójuk, ha megadták – elérhető, és letölthető a teljes adatlapjuk, beleértve az esetlegesen jelzett fizetési igényt is. Ebből nemcsak az aktuális felettes vonhat le következtetéseket, de ezekkel akár egy rosszakaró is visszaélhet.
Nem menti a helyzetet, hogy a Profession.hu mindezt például egy kéthetes bevezető kampány részeként biztosítja csak ingyen, és hogy ennek lejárta után már olyan összeget kérnek a szolgáltatásért, amelyet kíváncsiskodó magánszemélyek nem biztos, hogy szívesen kifizetnének. A Workania.hu adatbázis használatáért még csak pénzt sem kér, csak a kiszemelt személyek elérhetőségi adatainak megszerzéséért kell fizetni.
Munkavállalóként nem árt tisztában lenni azzal, hogy hasonló szolgáltatást (önéletrajz-adatbázis) több nagy álláskereső oldalon is elérhetnek a munkaadók. Az általunk vizsgált legnagyobb oldalak közül a Profession.hu és a Workania.hu akadt fenn a szűrőn. A Cvonline.hu, a Jobline.hu és a Monster.hu vonatkozó önéletrajz-adatbázisainak bogarászásához az üzemeltető egy munkatársa előbb felveszi a kapcsolatot a regisztrálni kívánó cég képviselőjével, folyamatosan aktualizált cégadatbázisban ellenőrzi a vállalkozás adatait, és elvben ha megbizonyosodott azok hitelességéről, akkor küldi ki a szolgáltatás igénybe vételéhez szükséges szerződést és számlát.
És ezt így hogy?
Hogyan lehetséges ilyesmi azon a piacon, ahol az állásközvetítő cégek leginkább abból a bizalomból élnek, hogy az állást kínálók és keresők között képesek win-win helyzetet teremteni?
Az anonimitás útja |
Egy kifejezetten munkaerőéhes iparágban, a informatika világában van olyan állásközvetítő oldal, melynek üzemeltetői egészen más módon próbálnak versenyelőnyhöz jutni, főleg a munkavállalóknál. „Tudjuk, hogy nem mindig szeretnéd reklámozni a főnököd előtt, hogy új munkát keresel” – olvasható a Techloop.io-n, ahol a munkavállalók profilja lényegében teljesen anonim: a név egyetlen részlete sem derül ki belőle, ahogy a jelenlegi munkaadó és az elérhetőségek sem. Az álláskereső azon a ponton fedi fel magát, amikor úgy dönt, hogy kapcsolatba szeretne lépni az adatlapjáról leolvasható képességei és tapasztalatai alapján iránta érdeklődő vállalattal. De a személyes jellegű információkat akkor is kizárólag az adott cég kapja meg. |
Az általunk megkérdezett, neve elhallgatását kérő szakértő – és a józan ész logikája – szerint a munkaerőt kereső vállalatok szinte „mindenáron” szeretnék rövidebbre faragni az üresjáratot, azaz azt az időt, amely alatt az adott pozíciót már és még nem tölti be senki. Mivel már több szektorban is gyakorlatilag elfogytak a munka nélküli álláskeresők, már csak az állásban lévőket lehet megpróbálni „becserkészni”. Ami korábban a közép- és felső vezetői réteg kiváltásága volt, ma már az egész munkaerőpiacra jellemző: elvárás lett a dolgozók részéről, hogy megszólítsák, ajánlattal keressék meg őket.
A munkaerőhiány egyik következménye pedig az lett, hogy a felhasználók már az adatbázisba regisztráláskor jelzik a fizetési igényüket is, ezzel akarják kiszűrni a komolytalan ajánlatokat. Ezek az információk fokozottan bizalmasak, és a állásportáloknak biztosítaniuk ezek megfelelő védelmét. Ebből a szempontból vajon mi mehetett félre a Profession.hu és a Workania.hu oldalakon?
Hókuszpók és társai Kft.
Különösen aktuális felvetés mindez most, a május 25-e óta alkalmazandó, de a gyakorlatban még nem teljes mértékben honosított GDPR fényében. Első ránézésre az adatvédelmi regulák előírásait betű szerint akár teljesíthetik is az oldalak üzemeltetői, mivel a regisztráció során a rendszerük tájékoztatja a felhasználót, hogy az adatait kiadhatják munkáltatói megkeresésre. És lássuk be, alapvetően ilyesmi is lenne az álláskeresésre használható oldalak lényege. „Nem bizalmi, hanem kizárólag adatvédelmi jogi szempontból vizsgálva a helyzetet, önmagában az nem jelent problémát, hogy ilyen adatok vannak egy kereshető adatbázisban, hiszen az érintettek, amikor feltöltik, illetve aktiválják önéletrajzukat, hozzájárulnak az adatkezeléshez” – hangsúlyozza Ormós Zoltán internetes szakjogász.
De az nehezen képzelhető el, hogy a felhasználók abba is beleegyeznének, hogy egy olyan listára kerüljenek fel, amelyet kis erőfeszítéssel bárki tetten érhető kontroll nélkül böngészhet, név szerint beazonosítva az álláskeresőket. Mindenképpen probléma, ha a rendszer nem ellenőrzi, hogy a keresést végző „potenciális munkáltató” – vagyis a leendő ügyfél – valóban létezik-e. Ormós szerint önmagában ettől még nem történik illetéktelen hozzáférés, csupán „laza szerződéskötési gyakorlatról” beszélhetünk.
A Profession.hu idén május 24-től hatályos – valószínűsíthetően kifejezetten a másnaptól alkalmazandó GDPR-hez optimalizált – felhasználási feltételei szerint a szolgáltatás az álláskeresők segítése érdekében „lehetőséget nyújt, hogy felhasználói [...] feltölthessék önéletrajzukat a munkaadók által kereshető adatbázisba”. Ez az önéletrajz-adatbázis, melyre a szabályzatokba gyakran a CVDB rövidítést használják.
A Felhasználó tudomásul veszi, hogy az önéletrajzokhoz és a feltöltött dokumentumokhoz a Profession.hu szerződött partnerei (munkaadók, munkaerő közvetítők), amennyiben azt a Felhasználó nem zárta ki, hozzáférhetnek. [...] Ezen kívül az önéletrajzok között a Profession.hu munkatársai a munkaadók kérésének megfelelően előszűrést végezhetnek…
A 2017. november 1-je óta hatályos adatkezelési tájékoztató szerint:
Az Önéletrajz adatbázisra előfizető Megrendelők (ÁSZF 1.3.) kereshetnek a CVDB profillal rendelkező Felhasználók között…
Az általános szerződési feltételek 1.3 pontja pedig úgy szól, hogy:
1.3. A Szolgáltatás megrendelője a továbbiakban: Megrendelő. A Szolgáltató a Megrendelő által igénybe venni kívánt Szolgáltatások szerződésszerű biztosítására, míg a Megrendelő az ÁSZF és a vonatkozó szerződés feltételeinek maradéktalan megtartása mellett, az adott szolgáltatásra vonatkozó, megrendelés szerinti díj megfizetésére vállal kötelezettséget. A Megrendelő vállalja, hogy a Szolgáltatás nyújtásával kapcsolatban megtesz minden olyan, az érdekkörébe tartozó cselekményt, illetve megad minden olyan információt, amely a Szolgáltatás nyújtásához szükséges. A Szolgáltató a Szolgáltatásához kapcsolódó egyes szolgáltatási elemeket a Felületen, illetve a Munkaadói Adminisztrációs Felület funkcionalitásain keresztül nyújtja.
Ám jóval érdekesebb az 1.7 pont.
1.7. A Szolgáltató természetes személyek számára nem vállalja a Szolgáltatás nyújtását, így a Megrendelő természetes személy nem lehet.
És hogy milyen módon azonosítják azt a bizonyos megrendelőt?
2.1.1 (i) a cégnyilvántartásban szereplő adatokkal egyezően a Megrendelő elnevezése, székhelye, cégjegyzékszáma, adószáma, bankszámlaszáma, kapcsolattartó személy neve és elérhetősége.
Ehhez képest azt tapasztaltuk: a nagy szigorral meghatározott adatok körét feltételezhetően nem ellenőrzi senki. „Ha a szolgáltató a szerződési feltételeiben vagy adatkezelési tájékoztatójában vállalja, hogy harmadik félként csak egy ellenőrzött kör számára enged hozzáférést, akkor akár adatvédelmi incidensről beszélünk, hiszen nem ellenőrzött, tehát jogosulatlan harmadik felek fértek hozzá az adatkör kisebb-nagyobb részéhez” – mondja erről Ormós Zoltán.
Cikkünk megjelenése előtt, csütörtök délelőtt interjút kértünk telefonon a Profession.hu Kft. ügyvezetőjétől. Tettük mindezt azzal a céllal, hogy cikkünk megjelenése előtt elég időt hagyjunk a cégnek arra, hogy bezárhassa a kiskaput. A beszélgetés során megkérdeztük Martis Istvántól, ellenőrzik-e a cégként regisztráló felhasználókat. Az ügyvezető a szabályzatokra hivatkozva azt válaszolta, hogy természetesen igen, de az ellenőrzési folyamat részleteiről üzleti titokra – és a lapunkkal azonos tulajdonosi háttérrel rendelkező Jobline-ra mint konkurenciára – hivatkozva nem kívánt beszámolni. Ezután beszámoltunk neki a hibajelenségről, miszerint tapasztalatunk szerint valaki akár fals cégadatokkal is regisztrálhat és böngészhet az önéletrajzok között. Martis István első telefonbeszélgetésünk alkalmával egyszerűen nem hitte el, amit állítottunk. Nem sokkal később azonban ismét jelentkezett telefonon, és türelmünket kérte, amíg lefolytatnak egy gyors belső vizsgálatot. Nem sokkal ez után, csütörtök este az ügyvezető e-mailben juttatta el hozzánk válaszát. Ebből idézünk:
Június eleje óta egy ún. Try&Buy módszerrel népszerűsítjük a terméket, amely keretében a Munkaadó számára egy megrendelést [ingyenes regisztrációt – a szerk.] kell végeznie mielőtt álláskeresői profil letöltéseket (max. 5 db) eszközölne a felületen. A megrendelés során a szolgáltatást igénybe vevő Munkaadó elfogadja és magára érvényesnek tekinti az Általános Szerződési feltételeket és az Adatkezelési Tájékoztatót, ezzel biztosítva, hogy a jogszabályoknak megfelelően végzi az adatkezelést. A megrendelő cégeket ügyfélszolgálatunk folyamatosan ellenőrzi, hogy kiszűrje az esetleges visszaéléseket. Ha valaki nem valós adatokkal regisztrál és így rendeli meg a szolgáltatást, akkor az illető követ el visszaélést.
Célunk továbbra is, hogy a lehető leginkább biztonságos szolgáltatást nyújtsuk a munkavállalók számára ezért meg fogjuk vizsgálni, hogy tudunk-e további lépéseket tenni ennek érdekében.
Az e-mailt követően még órák múlva is sikerült belépni fals adatokkal, bizonyos esetben vicces cégnevekkel a rendszerbe.
Frissítés, péntek 10:56: Cikkünk megjelenése után, pénteken délelőtt 10:48-kor a Profession.hu Kft. az alábbi állásfoglalást juttatta el szerkesztőségünkhöz, melynek lényegi részét változtatás nélkül közöljük.
A mai napon megjelent cikkben hivatkozott eset egy időszakos, korábban még nem futott kampányunk kapcsán keletkezett. A Profession.hu 2018.06.04-én indította el Try&Buy kampányát, aminek alkalmával előzetes cégvalidációval a munkaadók számára elérhetővé tettük adatbázisunkat anonimizált formában. Ezzel a kampánnyal kapcsolatban kaptunk bejelentést lehetséges visszaélésről. A kampányt azonnali hatállyal leállítottuk, megkezdtük az eset kivizsgálását, aminek eredményéről minden lehetséges érintettet tájékoztatni fogunk a jövő hét folyamán.
A fejleményekről természetesen beszámolunk majd.
Disclaimer: a Jobline álláskereső portál tulajdonosa a lapunkat is megjelentető HVG Kiadó Zrt.
Ha máskor is tudni szeretne hasonló dolgokról, kövesse a HVG Tech rovatának Facebook-oldalát.