17:38
16/6/2011

Jeden z użytkowników Wykopu znalazł katalogi, w których znajdują się CV dodawane przez użytkowników serwisów terazpraca.pl i loccoevent.pl.

CV w internecie

Krótka lektura CV przez użytkowników Wykopu pokazuje, że każdy ze starających się o pracę zna Worda, niektórzy mają maile w tak poważnych domenach jak @buziaczek.pl, a część osób jako doświadczenie w pracy podaje “degustację krokietów oraz promocję farb do włosów”. Niektóre z plików zajmują ponad 3,5MB (sic!).

CV

CV szukających pracy

Głębokie ukrycie” to wyrażenie, które znaleźliśmy w wypowiedzi rzecznika PKO BP, kiedy to jeden z internautów zauważył na serwerach banku listę dłużników w katalogu dostępnym dla każdego i zindeksowanym przez wyszukiwarki internetowe.

Jak nie przechowywać plików wgranych przez użytkowników?

Z tzw. “głębokim ukryciem” można poradzić sobie przede wszystkim odpowiednio ustawiając prawa dostępu do katalogów (i plików), w których przechowywane są wrzucane przez formularze uploadu dane i pliki internautów — samo wyłączenie listingu plików (Options -Indexes w .htaccess) nie wystarczy, bo znając nazwę pliku, dalej będzie się można do niego odwołać — stąd pojawiające się czasem wskazówki, aby zmieniać plikom wgrywanym przez użytkowników nazwę na nieprzewidywalną, co czyni je głębiej ukrytymi, ale ciągle dostępnymi (dostępność jest wprost proporcjonalna do możliwości przewidzenia/zbruteforce’owania nazwy pliku). Dlatego jeśli możecie, to najlepiej w ogóle nie umieszczajcie danych wgrywanych przez użytkowników w obrębie “www root”, czyli katalogów udostępnianych przez webserver :>

Aktualizacja 22:00
Serwis terazpraca.pl zablokował swoją główną stronę — ale katalog z CV dalej jest dostępny… Fail? Z kolei serwis loccoevent usunął CV ze swoich serwerów, ale Google ciągle ma ich kopie w cache — wystarczy zapytanie z operatorem site:.

W powyższej historii nie znajdujemy niczego specjalnie odkrywczego… Stron udostępniających CV (świadomie bądź nie) jest, niestety, na pęczki — wystarczy pogooglać za:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celach rekrutacji, zgodnie z Ustawą z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami).

dodając operatory filetype:doc lub filetype:pdf. Podobnie przy pomocy Google Hackingu można szukać prywatnych kamerek wystawionych do sieci czy zbiorów adresów e-mail.

P.S. Ten post początkowo (od 17:30) znajdował się na naszym linkblogu, ale po 40 osobie, która wysłała nam informację o tych CV postanowiliśmy go wrzucić na główną — głównie po to, żeby już nikt nam nie pisał maili z prośbą o opisanie tego tematu :P

Przeczytaj także:

89 komentarzy

Dodaj komentarz
  1. A CV wciąż ‘wiszą’ na serwerze. Powiadomił ktoś te serwisy ?

  2. Oo, można sobie poszukać uroczej sekretarki…

  3. Nic tylko wget z opcją recursive :)
    Żyjemy w policyjnym kraju i smutni panowie mogą zapukać za taki downloadzik.

  4. moim zdaniem to jest mega wtopa. wszystkie dane osobowe na wierzchu. powinni jakąś karę zapłacić!

  5. w tym pierwszym sami męszczyźni a w drugim same kobiety.

  6. dzwoniłem pod numer komórkowy tej firmy locco… czy coś takiego gość powiedział ze zgłaszają sprawę na policje bo ktoś im się włamał i dziś o 16 założył katalog CV ….
    porażka

    2 firma kompletnie zaszalała … zakmneli stronę główną ale cv zostawili

    • Jaaasne (-;
      Ktoś specjalnie shakierował strone, żeby akurat móc wrzucić na wykop! Genialne!
      Gorszego tłumaczenia nie słyszałem…

    • No to dostaną karę za składanie fałszywych zeznań : )

    • Dział PR jak zwykle stanął na wysokości zadania ;>

  7. Matko i córko, fakt: zamknęli stronę główną ale pliki CV zostawili dostępne :D:D:D
    Oscar

  8. http://i.imgur.com/Epbhp.jpg – “Głębokie ukrycie” w praktyce ;)

  9. Wyłączenie listowania katalogów dobra rzecz ale co po tym jak wszystkie pliki mają kolejne numery i łatwe do przewidzenia rozszerzenia?

    • Przede wszystkim, nie wyłączenie listowania a ustawienie odpowiednich praw. Możesz znać nazwę, nie możesz ściągnąć pliku (prawa). Ale dobrze prawisz, “nieprzewidywalne” nazwy też są wskazane, o ile nie są tak nieprzewidywalne jak md5 z nazwy pliku, co czasem widzimy podczas pentestów ;)

    • md5 z nazw plików ale of corse oryginalna nazwa leci do bazy żeby ją potem można było odtworzyć : ))) takie coś mi się często zdarza robić i widzę że chyba dobrze : ))) z tym że dwa pliki np. 1.jpg będą miały ten sam hash md5 więc lepiej dodać im np. ID usera xD + jakąś losową xD

    • Ani to ani to. na 99% używali tego do dzielenia danych ze swoimi klientami, powinien być auth z sensownym hasłem + SSL (albo najlepiej chrootowane konto scp ale obsługa filezilli nawet “informatykom” czasami sprawia problemy ;>)

  10. Jak szybko sprawdzić czy TWOJE CV (lub matki, żony czy kochanki) jest w bazie?
    Ano, ujek Gogiel se radzi z dokumentami w tymże katalogu, styka jak się wpisze terazpraca.pl [Nazwisko] i uś…
    jakie to praktyczne, np. poszukujemy Karoliny :):)

  11. http://terazpraca.pl/data/pliki/
    Niby trwają pracę na serwerze .. ;d
    Fail i jeszcze raz fail..

  12. Czy to już nie podpada pod interwencję GIODO?

  13. Tak btw. poprawcie “Niektóre z plików zajmują ponad 3,5MB. ” na 6.5MB ;p

  14. No to ja mam pytanie. Czy za zapodanie z zagranicznego serwera:
    wget -r -l1 -A.pdf http://terazpraca.pl/data/pliki/

    coś mi grozi? ;)

    • Ja bym na twoim miejscu nie ryzykował :]

    • Nic się nie stanie, tak już tysiące osób było i pewnie tyle samo botów wyszukiwarek, to jest dostępne z poziomu google.

  15. @Piotr Konieczny:
    A co złego widzisz w “md5 z nazwy pliku”?

    • Ponieważ nazwy dalej są przewidywalne? ;>

    • A niby dlaczego zakładasz, że są przewidywalne? Mnie chodzi o normalną sytuację – nie znasz nazw (bo niby skąd?). Gdyby te pliki z CV były nazywane wg. haszy z imienia i nazwiska (i odrobiny soli ;p), a indeks był wyłączony, to chyba trochę trudniej byłoby je znaleźć, nie?

    • Myślę, że chodziło jednak o md5 z przewidywalnych nazw plików.

    • Co do zasady: ZAWSZE gdy chodzi o bezpieczeństwo (a nie jedynie o pseudounikalność) gdy używasz funkcji hashującej, to powinieneś podawać tzw. “sól”, czyli jakiś ciąg znaków, np.
      hash = md5(nazwapliku+”dupaXXX”);
      sól może być unikalna dla każdego elementu (np. id z tabeli przy soleniu haseł użytkowników) ale często wystarczy jak jest to tajny ciąg znaków zapisany np. w niedostępnym dla serwera WWW pliku konfiguracyjnym.
      Oczywiście nadawanie plikom nazwy md5(uniqid()).extension nie jest złym pomysłem (niuanse przewidywalności uniqid() są tu celowo pominięte!), ale zdarza się, że to jest md5(id_z_tabeli) i wtedy łatwo sobie zgadnąć.
      Do tego nie wolno zapomnieć o sprawdzaniu kolizji, bo choć szansa to ~(1/(2^128)), to jednak jest :)

    • Albo.. yknow… ssl + auth ? mniej roboty i bezpieczniejsze ;p

  16. albo mam farta, albo tylko takie CV tam są – sami magazynierzy i kierowcy. Nic ciekawego

    • Znalazł się jeden magister informatyki, który dokumentu sformatować właściwie jednak nie potrafił…

    • “znajomość programów WINDOWS OFFICE 97”
      ktoś jeszcze używa?

    • @Adam Sobota
      E tam, lepsza jest biegła znajomość Windows XP i… DOS :E

    • To ja trafiłem na “softwear i hardwear” :-)

  17. To już naprawdę nudne, co dzień nowa “informatyczna” afera…

    • Jak wolisz o Dodzie niusy, to co tu robisz? :)

  18. Rzeźnia ;)

  19. Są też foty
    http://terazpraca.pl/data/logo/

    • Najpierw myślałem, że publikowanie CV to szczyt, potem zacząłem oglądać te zdjęcia i pomyślałem, że dołączenie zdjęcia z imprezy do CV to szczyt, ale kiedy trafiłem na całkiem wyraźny skan dowodu osobistego, zwątpiłem, że w ogóle jakiś szczyt jest…

    • Od wykopu minęło już 15 godzin, a te pliki nadal są wystawione.
      To jest dopiero fail.

  20. heheh.. nawet są skany dokumentów typu świadectwa pracy itp..
    [censored]
    Ooj.. ktoś po doopie złapie za to ;)))

  21. Nie wiem ilu tam jest absolwentów informatyki, ale na pewno nie jeden, jak ktoś wyżej pisał/

    Otworzyłem dopiero z 10 pdf, trafiłem już na trzech :)

    Co jeden to lepszy, np. ten specjalista informatyk po Studium zapodaje CV do góry nogami [censored] Dadaista! Chyba do niego zadzwonię z propozycją pracy.

  22. idealne foto do CV ;-)
    http://terazpraca.pl/data/logo/2766.jpg

  23. Co grozi za ściągnięcie 5560 sztuk tych CV ? Przecież to nie jest włamanie , łamanie żadnego hasła tylko publicznie, jawnie udostępnione na ftp.

    • Grozi, grozi.
      Jeśli ktoś by się uparł to można pociągnąć każdego odwiedzającego do odpowiedzialności za naruszenie art. 267 par. 2 kk, który brzmi następująco: “Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego”.
      Punkt ten nie jest powiązany z przełamywaniem zabezpieczeń, on się odnosi do sancji, wymienionej w punkcie pierwszym.
      To znaczy, że nie trzeba przełamywać zabezpieczeń, wystarczy UZYSKAĆ DOSTĘP do systemu informatycznego. I nie ma tutaj tłumaczenia “nie wiedziałem że mi nie wolno”. W tym przypadku na uzyskującego dostęp narzuca się konieczność uzyskania zgody, czyli “wiem, że mi wolno”.
      Oczywiście można się tu wykłócać, czy strona www jest systemem informatycznym, czy nie, ale mimo wszystko chciałbym zwrócić uwagę, że nasze polskie prawo jest na tyle niejednoznaczne, że jak ktoś będzie uparty to na każdego przeglądającego CV znajdzie odpowiedni paragraf ;)

      ot takie moje 2 grosze.

  24. Ciekawi mnie jak te dwie firmy wytłumaczą tą wpadkę ?

  25. nie chcialo mi sie daleko szukac
    wy sie smiejecie z takich portali, wiec co powiecie na to ?
    http://www.msz.gov.pl/files/Sedzia%20Tryb%20Europ/wzor_cv.doc

    • albo jeszcze lepiej
      wklepcie sobie cos takiego w googla
      ” cv filetype:doc site:gov.pl ”
      jak widac nasze MSZ jest szeroko otwarte na wszelkie kontakty :D , tzn przoduja :P

    • przecież to są *wzory*…

    • don’t feed troll – a cholera chciałem

    • posprawdzaj troche w wynikach to sie mnostwa ciekawych rzeczy dowiesz,podalem tylko przyklad czegos co lezy na wierzchu [ pierwsze z brzegu ], chcialem tylko pokazac jaka glupota jest zachwycanie sie nad czyms takim jak pelno tego lezy wszedzie, zmiencie typ pliku na configuracyjny to jeszcze wiecej bedzie, echh, zreszta niewazne,
      cos chcialem pokazac ale niestety nie udalo sie, serverow otwarych na swiat jest mnostwo, trafiam na taki przynajmniej raz na tydzien grzebiac w necie, wiekszosc na domenach uczelnianych, lub free, ale zdazaja sie tez rodzynki na rzadowych i prywatnych, wystarczy zadac odpowiednie pytanie w google i troche podrazyc znajac ew. strukture ktora sie moze znajdowac na serverze [ np. na poczatku wywalic blad na servie zeby nam powiedzial kim jest -apache,itp. ], a potem to hulaj dusza i sprawdzic mozna co tam siedzi, najczesciej wywala na dokumentach bo te foldery sa najmniej zabezpieczone, to by bylo na tyle
      @Stoper – jak na razie to ty trollujesz, ja probuje pokazac glupote podazajac za tematem

  26. Katalog nadal dostępny. PWNd na 90%, bo się boję cokolwiek pobrać.:P
    Kurde, naprawdę nie wpadli na to, by fizycznie odciąć się od net’a? Strona leży, więc zysków absolutnie zero, zresztą straty z powodu downtime’u to teraz ich najmniejsze zmartwienie.

  27. @czarnapasqda

    Art. 49. 1. Kto […] albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

    Także ściągaj do woli, ale pamiętaj. Że zabronione jest nie tylko przetwarzanie, ale i “wchodzenie w posiadanie”. ;P

    • chwila poproszęcałość, a sam podam takie coś:
      * Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. (art. 50 ustawy, ust. 1)

  28. @Robert
    Właśnie: wejście w posiadanie. A czy to moja wina, że np. Opera pobiera w tle, aby szybciej otwierać? :)

  29. To chyba dobrze dla właścicieli, że ich cv zobaczy więcej osób?

    • Chyba nie, bo trzeba dodać “osób nie uprawnionych” do przeglądania.
      Przecież Ci ludzie nie dawali tego abyście się z nich nabijali oni potrzebują roboty, żeby utrzymać siebie i/lub rodzinę!

    • Więcej ludzi zobaczy cv, większa szansa, że ktoś znajdzie pracę.

  30. Też sobie przejrzałem kilka :P Niby nic ciekawego, a jednak (;
    UMIEJĘTNOŚCI: Obsługa komputera – Windows,Word,Asus,Opera

    • @str: widziałem lepszy tekst kiedyś w zainteresowaniach: “Interesuję się ekonomią, informatyką, filozofią i zdobieniem paznokci” – o_O

      @Stoper: oni wyrażają zgodę na przetwarzanie danych w procesie rekrutacji, w którym ty nie bierzesz udziału;p

  31. Autorze wystarczy kliknąć w “Size” aby zobaczyć, że 12MB plik największy waży.

  32. I ciągle działa podstrona – /data/pliki/. Teraz to już chyba za późno na to by zniknęły te CV z netu wnioskując po ilości osób które to już zbackupowały ;-)
    Strona leży na serwerze OVH więc oni samego serwerka nie mogą wyłączyć. Może OVH by się tym zainteresowało i odcięło to konto od netu za naruszenie ustawy o ochronie danych osobowych? Ale po co tam pisać jak to lepszy fun do poczytania od joemonstera :-)

  33. Ja mam pytanie z innej beczki, czy jak robie test stron N-Stalkerem z ustawionym przekierowanie przez tor jest jakas szansa ze zostawiam slady? ;p

  34. Kurcze sekretarki fajnej nie znajdziecie – ustawilem sobie przegladanie po rozmiarze i tak ogladnalem chyba z 15 tych powyzej 200kB, nie trafilem na zadna kobite – kurde.

    Adekwatnie lamania prawa to nie wiem, czy nam cos grozi (ja osobiscie, nie zamierzam tego ani przechowywac ani nic) ale sami autorzy tych CV zgadzaja sie na przetwarzanie danych osobowych w CV, czyz nie? :D
    Odpowiedzialnosc za ich rozprzestrzenienie w moim przekonaniu ponosi jedynie serwis do ktorego byly one skladane za nieodpowiedi sposob przechowywania danych osobowych, ktore podlegaja ochronie prawnej.

    • Według mnie nic nie grozi ani nam za przeglądanie tych CV, ani tym serwisom za ich “rozprzestrzenianie”, jedyne o czym tutaj możemy mówić to braku podstawowych zabezpieczeń przy przechowywaniu tego typu danych, a nie wiem czy za to są jakieś sankcje prawne.

    • dobiłem do 80 jak nie 100 – ciagle zadnej kobity ;-(

    • Nikt nie będzie ścigał kogoś kto dla jaj podglądnął parę CV, a nawet jakby to będzie “niska szkodliwość”. Co innego ktoś kto ściągnie wszystko aby dalej to używać prywatnie. Ustawa mówi wyraźnie co grozi. A firma powinna być przykładnie ukarana za takie traktowanie danych osobowych.

  35. Stoper,
    kobietki były na tym loccoevent.pl – niektóre bardzo milutkie ;)
    Chcesz kupić bazę? :D

  36. Nie tylko te 2 serwisy z tego co widać w google chętnie chwalą się cv. Kilka firm udostępnia też listy motywacyjne :D

  37. Dane dostępne publicznie? Brak choćby najprostszych zabezpieczeń? Jednym słowem: Żenada! Kocham Cię, Polsko!

    • to nie tylko polska mentalnosc, zmien domene na kazda inna jak- .us , .com
      lub cokolwiek co ci przyjedzie do glowy, to jest problem niedouczonych/domorslych “informatykow”, ktorym sie wydaje ze jak rozumieja troche linuxa to juz sa PRO
      zeby bylo smieszniej, wiekszosc “udostepnionych” dokumtow siedzi na linuxowych serverach, bardzo zadko sie zdaza na win OS, wnioski wyciagnijcie sami

    • @angelus Sam jestem niedouczonym i domorosłym informatykiem, a umiem wpisać dwie “magiczne” linijki do pliku .htaccess:P Nie uogólniaj:P

      A pomyśleć, jak zabezpieczają inne rzeczy, skoro z czymś takim sobie nie radzą :D

    • @angelus taka praca jaka placa i nie mam tu na mysli jedynie jej wysokosci, to dotyczy wielu zawodow, od asfalciarza po chief security w bankach i ta dalej.

    • @smartas – zgadzam sie z tym
      @str – sorki jesli cie to ubodlo do widocznie w jakis sposob sam sobie niedowierzasz, a ja mialem na mysli calkiem inna grupe IT, dlatego napisalem “informatycy”, przepraszam , napisze bardziej wryznie zeby ktos jeszcze sie nie obruszyl
      mam na mysli “hakierow”,”skrypkiddies”,” szkolnych/gminnych informatykow”, itp, kazdy pewnie zna takiego

  38. Najlepsze są CV w plikach *.txt i teksty w nich typu “Biegła znajomość pakietu Office” :D

  39. http://terazpraca.pl/%5B–%5D
    http://terazpraca.pl/%5B–%5D
    Są i kobiety! A serialnie mija 24h i dalej wszystko dostępne…

  40. Najlepiej w wysyłanym CV nie podawać adresu zamieszkania i nie podawać klauzuli. Jest prosta zasada – jeżeli pracodawca będzie nami zainteresowany to wystarczy mu numer telefonu do kontaktu i to wszystko. A najlepiej to w ogóle nigdzie nie rozsyłać CV po portalach internetowych tylko wprost do pracodawcy ewentualnie przyszłego.

  41. o kurcze, pozew zbiorowy sie prosza jak nic. Na co Ci ludzie jeszcze czekaja?

    — pisane szybko z nowego szybkiego routera “2,4Ghz only” —

  42. Jaki fail, katalog dostępny w ciągu dalszym.

  43. wannabe admin pewnie na urlopie ;)

  44. zablokowane!:D

  45. A potem się okaże że to wszytko było pod kontrolą, firma wystawiła bazę na świat, użytkownicy się na to rzucili i teraz mamy mirror strony na tysiącach rozproszonych serwerów. Backup doskonały i to za free :-)

    Ponieważ “głębokie ukrycie” już się oklepało, to zapewne ktoś z TerazPraca.pl będzie się tłumaczył, że to nie żadne wyciek danych tylko przetwarzanie danych w chmurze. No i tyle CV trafiło potencjalnych pracodawców – nic tylko się cieszyć ;-)

    • dokładnie tak jak mac czy fb:

      “it’s not a bug, it’s feature” ;D

  46. Pewnie GIODO zaczelo weszyc,lub podjeli dzialania.Cos rmfka brzeczala takze o jakims sledztwie prokuratora pod katem wlamania….
    Bedzie ciekawie,o ile po cichu nie ukreca lba sprawie.
    Pozdrawiam.

  47. Bazę w 91,3% zmirrorowano na stronie .onion, a na pewnym forum już kombinują jak wykorzystać CVki do niecnych celów.

  48. Pewnie im mocno logi Apache spuchly przez ostatnie dni..

  49. […] Jak informuje nas Szymon Liszewski, GIODO zapowiedział kontrolę serwisu terazpraca.pl z którego tydzień temu wyciekło kilka tysięcy CV. […]

  50. pliki cały czas są w indeksach google. I trzeba coś poprawić w tekście, bo stanowczo NIE WSZYSCY potrafią korzystać z worda – świadczy o tym tytuł Kreator życiorysu.

  51. Już nie działa. gdzie zostało to na .onion zmirrorowane?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: