Valley News Live, una subsidiaria de la tercera red de medios más grande de Estados Unidos, expuso millones de currículums con datos personales, que van desde direcciones particulares hasta antecedentes educativos.
Como si solicitar un trabajo no fuera lo suficientemente estresante, los solicitantes también corren el riesgo de exponer sus datos personales. El equipo de investigación de Cybernews descubrió que Take Valley News Live, una estación de televisión con sede en Dakota del Norte, expuso datos confidenciales de solicitantes de empleo a cualquier persona en Internet.
El equipo supuso que los datos desprotegidos provienen del portal de empleo de Valley News Live, que recibe hasta 250.000 visitantes mensuales. Los investigadores afirman que los detalles expuestos se almacenaron en un depósito de Amazon AWS S3 sin protección.
El depósito almacenaba más de 1,8 millones de archivos, de los cuales más de un millón eran currículums de personas que buscaban empleo. Es preocupante que más de la mitad de todos los currículums y currículums expuestos abarcan varios años, cubriendo un período que va desde 2017 hasta 2024.
Valley News Live tiene su sede en Fargo, Dakota del Norte, y ofrece cobertura de noticias regionales para el área y la región de Red River Valley. La estación es propiedad de Gray Television, la tercera emisora más grande de los Estados Unidos, que opera 180 estaciones en todo el país.
Qué datos privados se filtraron:
Nombres completos. Números de teléfono. Direcciones de correo electrónico. Direcciones particulares. Fechas de nacimiento. Nacionalidad y lugares de nacimiento. Enlaces a redes sociales. Historial laboral. Antecedentes educativos
«Los datos expuestos incluyen identificadores personales altamente sensibles, lo que crea numerosos vectores de ataque para los ciberdelincuentes, donde la información personal se puede utilizar para crear identidades sintéticas o cuentas fraudulentas», dijo el equipo.
Exponer los datos personales de los solicitantes pone en peligro su privacidad, ya que los cibercriminales podrían aprovechar los datos filtrados para el robo de identidad, así como para realizar ataques de ingeniería social y phishing dirigidos.
Los ataques de phishing implican que los cibercriminales envíen mensajes engañosos diseñados para engañar a los destinatarios para que revelen información personal, hagan clic en enlaces maliciosos o descarguen archivos adjuntos dañinos.
Mientras tanto, con acceso a una gran cantidad de información personal, incluidos los datos de contacto y el historial laboral, los cibercriminales pueden crear correos electrónicos de phishing altamente personalizados y convincentes o incluso hacerse pasar por la víctima, lo que podría robar datos confidenciales adicionales y causar pérdidas financieras.
Incluso un número de teléfono filtrado puede representar una amenaza, ya que los atacantes pueden emplear ataques de intercambio de SIM, en los que el atacante obtiene el control del número de teléfono de la víctima.
Los enlaces expuestos a perfiles de redes sociales agregan una capa adicional de riesgo, ya que son un tesoro de datos personales. Su perfil de redes sociales podría revelar información personal, como sus intereses y conexiones profesionales, que podrían ser explotadas por actores maliciosos.