9:01
28/3/2010

Napisała do nas Helga, która stara się o pracę w znanej w branży IT firmie o zachodnio brzmiącej nazwie “Zjem-mięso“. Helga zauważyła w procesie rekrutacji kilka interesujących luk, które raz, że nie przystoją firmie związanej ze “bezpieczeństwem IT”, a dwa, pozwalają Heldze łatwo włynąć na to, kto zostanie zatrudniony w koncernie “Zjem-mięso”.

Helga odbiera maila

Tak Helga opisała nam swoje refleksje dotyczące rekrutacji:

Wszystko wydawało się OK, ale gdyby tak naprawdę przyjrzeć się szczegółom procesu rekrutacji do “Zjem-mięsa”, to spokojnie można zagwarantować sobie sukces…

Po wypełnieniu ankiety internetowej czekamy sobie spokojnie na e-mail z zaproszeniem na rozmowę. I taki mail do mnie dotarł. Pierwsze, co rzuciło się w oczy to, że adresy pozostałych zaproszonych były w polu “DO” (ang. TO). Nikt nie zadał sobie trudu klepnięcia adresów do pola UDW (ang. BCC).

I w ten sposób Helga poznała e-maile innych osób, potencjalnych konkurentów starających się o to samo stanowisko pracy.

Oryginalny e-mail przesłany do osób zainteresowanych pracą w firmie Zjem-Mięso

Gdyby Helga była kobietą wątpliwej moralności, mogłaby wysłać do swoich rywali kolejnego e-maila, podszywając się pod adres rekrutacja@zjem-mieso.pl. Jaka byłaby jego treść? Ano taka:

Szanowny Panie,

Z przykrością zawiadamiamy, że spotkanie o którym informowaliśmy w poprzednim e-mailu nie odbędzie się. Niestety, z przyczyn od nas niezależnych musimy zawiesić rekrutacje na stanowisko, na które Pan aplikował. Pragnę jednak zapewnić, że jeśli tylko proces rekrutacji zostanie wznowiony, skontaktujemy się z Panem w pierwszej kolejności.

Pozdrawiam serdecznie,
Ta Pani z HR-u, która pytała o to, jakim zwierzęciem chciałby Pan być?

Ku dodatkowej uciesze Helgi, oryginalne e-maile z firmy Zjem-mięso nie są podpisywane elektronicznie, więc nikt, kto nie zna na pamięć adresów IP serwerów poczty wychodzącej tej firmy, nie zorientowałby się, że otrzymał fałszywkę.

Helga słusznie zauważa, że jej atak mógłby być również ciekawym narzędziem rekrutacyjnym, sprawdzającym jak mocno potencjalni kandydaci na stanowisko “serwisant IT” są obeznani z zagadnieniami bezpieczeństwa. No ale HR-y wolą pytania “gdzie widzi się Pan za kilka lat“, a nie “co widzi Pan w nagłówkach tego e-maila“… :>

Helgi wizyta w oddziale “Zjem-mięsa”

Helga wybrała się na umówione spotkanie, a tam…

Panie w recepcji wierzą na słowo i nie wymagają potwierdzenia! Miła pani dysponowała listą z nazwiskami osób zaproszonych w danym dniu. Wystarczyło jedynie podejść i powiedzieć swoje nazwisko, a otrzymywało się identyfikator gościa. Zero sprawdzenia dowodu osobistego, nawet nie podpisuje się pobrania i zdania identyfikatora… A gdyby tak tuż po rozmowie zaplątać się gdzieś na terenie firmy i choćby wyłączyć im prąd w skrzynce… :)

Gdybym nie był notorycznym mięsożercą, doradziłbym Heldze przejście na kuchnię mniej zachodnią, a bardziej orientalną… chociaż chodzą słuchy, że koncern “Zjem-Mięso” nawiązał niedawno ścisłą współpracę z firmą “Wok-i-ja“.

Nazwisko Aplikantki i Firmy zostało zmienione, czas zakrzywiony, a miejsce akcji to wcale nie Wrocław :-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

36 komentarzy

Dodaj komentarz
  1. Można wiele podobnych historii opowiedzieć. Czasami można dostać na przykład ciekawe maile, które w zasadzie mają zostać wysłane do innej osoby, a wszystko przez funkcje mające ułatwiać człowiekowi życie – uzupełnianie adresów e-mail. Umieszczanie wszystkich adresów w To lub CC to również norma, a nie wyjątek…

    Zupełnie oddzielnym tematem jest sposób pracy działów HR. Mam wrażenie, że często pracują tam absolwenci (absolwentki) psychologii ślepo wierzący w skuteczność swoich “narzędzi badawczych”. Problem w tym, że sposób działania tych narzędzi nie jest wiedzą tajemną i oszukanie ich, a co za tym idzie również i osoby rekrutującej, nie jest trudne. Kilkoro moich znajomych potwierdziło te obserwacje i przyznało się, że dokładnie to robią – mówią w trakcie rekrutacji to, co HR chce usłyszeć. Takie “lifehacking for food” :)

  2. Świetnie napisany tekst :)

    Dział/firma HR to jedno, ale są rekrutacje na stanowiska online. Coś jak codility, tylko trochę mniej nowocześnie – formularz, pytania. W Anglii jak starałem się o robotę, drugim etapem rekrutacji było uzupełnienie formularza. Błędem było jednak to, że formularz pozwalał na odpowiadanie bez podawania swoich danych do końca procesu, co umożliwiało teoretyczną możliwość sprawdzania odpowiedzi np. w kafejce do skutku, aż miało się 100% skuteczności i dopiero później, z innego IP, odpowiedzenie za siebie.

    Lifehacking for food, dobre :)

  3. Fajnie „zaciemniona” nazwa firmy. Hm, ale chyba mi się udało rozkodować. :P

  4. Firma Zjem-mięso to nie jedyny taki przypadek. Ostatnio dostałem e-mail zaadresowany do ponad *tysiąca* osób, z czego nie wszystkie były adresami firmowymi. Kompletna porażka, zwłaszcza jeśli pisze się do osób potencjalnie zainteresowanych szeroko pojętym IT.

  5. A czy nie zdziwiło Was to, że siódmy adres email jest w domenie gmaill.com? Dla nieuważnych: podwójne l.

  6. Jakie milusie kolorki w tym mailu :)

  7. HRy to idioci bez wiedzy techniczniej, wiec nie nadaja sie do kompleksowego prowadzenia procesu rekrutacyjnego w dzialach specjalistycznych. Cala ta rewolucja jest zalosna. Niegdys rozmawialo sie z osoba z firmy i calosc wygladala lepiej, a koszta wcale nie byly takie duze. Zenada.
    Ja sam nigdy pewnie nie zapomne pewnej HRki, ktora pytala sie mnie o bazy danych. Gdy chcialem doprecyzowac pytanie i poszedlem w szczegoly oznajmija z rozbrajajaca szczeroscia, ze ona to sie na tym nie zna, wiec nie wie o jakie powinna pytac, ale ‘z pewnoscia na kolejnych ETAPACH rekrutacji spotkam sie z kims, kto to wie’, bo np jest adminem, a nie podstawionym krasnalem ogrodowym z plakietka ‘Human Resources’.
    Pomijam juz kompletny debilizm dzielenia rekrutacji na pierdyliardy etapow.

  8. @m: gmaill.com, bo pewnie HRowiec klepał(-a) adresy z ręki :)

  9. “Gdyby Helga była kobietą wątpliwej moralności, mogłaby wysłać do swoich rywali kolejnego e-maila, podszywając się pod adres rekrutacja@zjem-mieso.pl.”

    No chyba nie za bardzo, bo firma zjem mięso ma ustawionego SPF-a, a jak widać po screenshotcie większość ludzi do których był kierowany email to konta na gmail.com, gdzie akurat tak jawne złamanie SPF-a “v=spf1 mx ~all” będzie widocznie zaznaczone.

  10. Ostatnio dostałem maila od kolegi z jakimiś życzeniami – lista adresów znajomych była imponująca, przy czym co najmniej kilka osób na niej rozpoznałem jako te, które kiedyś mówiły “nie dam Ci maila, bo on jest zarezerwowany tylko dla ważnych kontaktów”. A wystarczyło przenieść listę do pola BCC. ;]

    @Łukasz – sposoby zawsze się znajdą, ten z artykułu to tylko jedna propozycja.

  11. @Łukasz: Dobrze się dowiedzieć o Sender Policy Framework, dzięki. :) Jak ktoś chce sprawdzić, to:
    $ dig zjem-mieso.pl TXT

  12. “A gdyby tak tuż po rozmowie zaplątać się gdzieś na terenie firmy i choćby wyłączyć im prąd w skrzynce… :)” Przypuszczalnie nikt by się tym zbytnio nie przejął, poczekaliby aż się samo naprawi ;-) Faktycznie już sam wygląd tego maila, przynajmniej mnie, odstrasza, bowiem z profesjonalizmem to on wiele wspólnego nie ma. Ciekawie opisana historia, więcej takich.

  13. Podobnie wygląda wysyłka wiadomości prasowych przez jeden z (Nazwa Województwa do wiadomości redakcji) klubów sportowych. I tak wiem, że Pan Prezydent Lech W.( nazwisko do wiadomości redakcji ;) ) jest fanem pewnego sportu.
    Posiadam ( nie tylko ja, ponad 150 osób ) też prywatne maile kilku osób, które w województwie odgrywają znaczące funkcje, lub zarządzają ważnymi dla infrastruktury firmami.

  14. Co za analfabeta pisał tego maila? :) Żeby w takiej firmie tacy ludzie pracowali? Zjem-mięso… heh. Sprytnie wymyślone :)

  15. czasem zdarzaja sie jeszcze lepsze kwiatki.
    Nie tak dawno dostalem od wydawnictwa oferte prenumeraty z zalaczonym plikiem xls z danymi pozostalych zaproszonych (imie, nazwisko, adres, email,).
    Dodam, ze prenumerata dot czasopisma o tematyce IT security ;oP

  16. Widać człowiek od HR (jak i reszta obsługi firmy na potrzeby rekrutacji ;) ) był kształcony w dziale produkcji tramwajów i pralek a nie obsługi komputerów. ;)

    Niestety HR-owcy raczej kiepsko się znają w tematach wykraczających poza zarządzanie zasobami ludzkimi. Oczywiście są chlubne wyjątki, ale nieliczne niestety.

    PS: Ups, czyżbym zdradził przypadkiem nazwę firmy? Ach, te paskudne gogle, wszystko wypaplają. ;D

  17. Hmmm… a może to był test dla kandydatów? Kto to zauważył miał zapewnioną robotę od ręki ;).

  18. Szkoda ze piszecie o branży IT a używacie słów “aplikantka” i “aplikowac” .Lubie Was i Wasze niusy ale takie babole językowe daja -10 do lansu.

    Poprawcie sie ;)

  19. To, że email wysłano do wszystkich wklejając listę w “DO/TO” zamiast “UDW/BCC” to jest żenada. Ale marudzenie na brak podpisu elektronicznego czy tam innej metody elektronicznej weryfikacji nadawcy to przesada. W IT nie siedzę, więc może i trafiają się jacyś pracodawcy, którzy uszczęśliwiliby autora doskonałym technicznie emailem, ja w każdym razie takich nie spotkałem. Z resztą, jak można wymagać jakichś podpisów elektronicznych, cyfrowych kluczy czy co tam jeszcze (może szyfrowanie? MD5 czy tam inny hash?) od kogoś kto wysyła tak banalnego emaila w formacie HTML tylko po to żeby w tych 4 zdaniach + kilku równoważnikach użyć 5 różnych kolorów czcionki i 3 rodzajów formatowania tekstu.

  20. Heinrich,

    jedynym “idiota” tutaj jestes ty i widac ze nie masz pojecia do czego sluzy dzial HR.
    Wyobraz sobie ze tamtejsze kobieciny nic nie musza wiedziec o technicznej stronie twojej pracy, ba! – nawet dyrektor twojego dzialu nie musi miec takiej wiedzy! niezle co? od tego masz swojego bezposredniego przelozonego, ktory rozlicza cie z roboty. Reszta (hr, dyrektor dzialu, prezes) maja swoje managersko-zarzadzajace dzialki do przeorania.
    Takze “specjalisto” lepiej sie nie odzywaj jak nie masz pojecia o czym mowisz.

    R

  21. @R

    Jeżeli dział HR zajmuje się pozyskiwaniem pracowników do działu X to musi wiedzieć, czym się dział X zajmuje i kogo tam szukają. Dział HR jeżeli to jest faktycznie dział HR, a nie jakiś joke powinien przynajmniej na czas rekrutacji wypożyczyć sobie jednego specjalistę który będzie wstanie zweryfikować wiedzę merytoryczną kandydata. Pytanie jakim ktoś chce być zwierzątkiem albo jak się widzi za 10 lat nie pomogą realizować projektów i zadań postawionych przed działem X. Dodatkowo dział HR nie powinien kompromitować firmy którą reprezentuje w taki sposób jak widzimy to powyżej.

    Firmie takiej jak jem-mięso osobiście powiedział bym, żeby najpierw zajeli się przeszkoleniem działu HR, a później szukali pracowników, bo zatrudniają ludzi niekompetentnych, którzy kompromitują firmę.

  22. Panowie nie przesadzajcie. Taka Pani z HR nie musi znać się na każdej robocie, do której szuka pracownika. Od tego są inne osoby, które przeprowadzają egzamin kwalifikacyjny. Jak szuka specjalisty IT to musi znać się na branży IT, szukając elektryka to musi sobie zrobić SEPa? Taki HR-owiec powinien umieć zarządzać grupą ludzi a nie poszczególnymi pracownikami. Zresztą takie maile wysyła jakaś pani asystentka asystentki. Tutaj to raczej “admin” powinien przeszkolić pracowników jak należy wysyłać maile. Może właśnie dlatego szukają nowego?
    Jak do mnie trafia tego typu mail zawsze w odpowiedzi piszę prośbę/informację aby maile (mój) dodawali w polu UDW. Często zdaje to egzamin, mój jest w UDWa inne w polu DO.

    Pozdrawiam

  23. Jak ja lubię czytać komentarze różnej maści technicznych specjalistów o tym jacy to idioci pracują w HR. Albo najlepiej idiotki – bo w końcu, w ich mniemaniu, taka praca jest dla prawdziwego mężczyzny uwłaczająca. Praca w wewnętrznym dziale HR jest w miarę lekka, ciekawa i dobrze płatna. Pewnie stąd ta agresja – “bo uważam, że są niepotrzebne i im się nie należy”.
    A w praktyce od działu HR- zarządzania procesem rozwoju pracowników, zarządzania programem szkoleń, monitorowaniem wydajności pracy, dobieraniu właściwych osób do zespołu- okazuje się, że firma realizuje swoje cele biznesowe w sposób efektywny.

    A odnośnie artykułu – bardziej bym załamywał ręce nad formą maila (kolorowy, itd.) i samym faktem ujawnienia danych osobowych, niż nad zostawieniem “furtek do ataku”. W praktyce wysłanie maila do innych kandydatów spowodowałoby jedynie przełożenie dla nich terminu spotkania i wewnętrzne dochodzenie, kto też mógł wysłać takiego głupiego maila. A może akurat firma zajmująca się bezpieczeństwem ustaliłaby, kto takiego maila wysłał (chyba, że zakładamy, że Złośliwa Dziewczynka Predator włożyła by w to więcej wysiłku niż opisaliście to w artykule). A już o chodzeniu i wyłączaniu prądu… do większości firm można wejść i coś zepsuć. Tylko po co? Żeby się pozbawić szansy na pracę w tej firmie? :))

  24. @matja:
    “A w praktyce od działu HR- zarządzania procesem rozwoju pracowników, zarządzania programem szkoleń, monitorowaniem wydajności pracy, dobieraniu właściwych osób do zespołu-”

    Bo dział HR to wie, jak rozwijać pracownika IT, na jakie szkolenia go posłać i jak dobrać właściwego człowieka do zespołu. Powyższy mail widać, doskonale określa poziom “selekcjonera” oraz jego wyżyny umysłowe w przyszłości.

    Ja wiem, że dla działu HR to “ciężka” praca, ale dla innych to po prostu “idioci”, wymyślają jakieś głupoty zamiast zająć się pracą.

  25. Ktos wzial sobie do serca to mieso :D

    …:: http://www.zjem-mieso.pl ::…

  26. Moim zdaniem należy do przesady drążyć każdy przypadek i to zawsze ponieważ kolejnym razem mogą zostać wysłane dużo ważniejsze dane.

    “Taka Pani z HR nie musi znać się na każdej robocie, do której szuka pracownika”
    Jednym z jej zadań jest wysyłka wiadomości przez email więc _musi_ to umieć niezależnie gdzie pracuje. Natomiast jak jest to praktykant to ma opiekuna który ma sprawdzić treść przed wysłaniem.

    “[…] “admin” powinien przeszkolić pracowników jak należy wysyłać maile.”
    Popieram szkolenie konkretnej osoby _zawsze_ po zauważeniu takiego przypadku
    (ma to być jednak zrobione kulturalnie i z pomysłem)

    “Może właśnie dlatego szukają nowego?”
    ogłoszenie na to nie wskazuje (jak dobrze trafiłem) – ważniejszy jest Office
    od systemów operacyjnych, czyli nie będzie to też specjalista od bezpieczeństwa

    W moim wypadku powiadamianie skutkowało obrażeniem się nadawcy (co ja im będę mówił jak wysyłać e-maile). Teraz (w zależności od sytuacji) powiadamiam wszystkich widocznych adresatów i tłumaczę jakie mogą być skutki (i nie chodzi tu o łańcuszki wszelkiej maści)

    Przypadek, który tu jest opisany to pikuś w porównaniu z tym, co dostałem z pewnego urzędu. Pomijając bardzo wrażliwą treść, email był wysłany z darmowego konta pocztowego. Brak szyfrowania, darmowe konta pocztowe, pomylony odbiorca – i to wszystko w instytucji przetwarzającej bardzo wrażliwe dane. Lepiej żeby pozostali przy papierowych metodach przekazywania informacji.

    Coraz więcej pracujemy z elektronicznymi danymi, ale beztroska z jaką niektórzy do tego podchodzą przekracza wszelkie granice. Po zwróceniu uwagi odpowiedź zazwyczaj jest podobna – komu ja tym zrobię krzywdę? adresy – jak mogą zaszkodzić?
    Trzeba edukować, edukować i jeszcze raz edukować (najlepiej przez przykłady) takie jak opisał Niebezpiecznik.

    Uff, wyrzuciłem to z siebie. Mam nadzieję że nikt nie poczuł się urażony.

    P.S. Właśnie zaczyna się kolejny gorący okres – wysyłka życzeń.

  27. @Łukasz – tak, dobrze działający dział HR wie jak szkolić pracownika IT. Nie wiem, czy zauważyłeś, ale pisałem o działach HR w ogólności, a nie o konkretnej pani z działu HR firmy zjem-mieso, która nie potrafi wysłać maila (co jest oczywiście żenujące).
    Zwróć proszę uwagę, że informacja o zapotrzebowaniach na szkolenia może trafiać do działów personalnych z różnych miejsc. Od samego pracownika (np. oceniam, że potrzebne mi szkolenie, żeby podołać zadaniom w szykowanym projekcie), od jego przełożonego (uważam, że mój pracownik potrzebuje dowiedzieć się czegoś o systemie XYZ), od działu marketingu (zabraliśmy pana X na prezentację do klienta i niestety okazał się technicznym kołkiem, który nie potrafi gadać z ludźmi), zapotrzebowania na szkolenia mogą wynikać także z planu rozwoju pracownika (np. audytorzy nie mający jeszcze certyfikatu ZXY idą na szkolenie ZXY dla początkujących, lub każdy konsultant musi szkolić się z XZY, bo ścieżka rozwoju dla niego przewiduje awans na stanowisko …), itd. Oczywiście w tym celu w działach HR trzeba zatrudniać osoby wykwalifikowane.

    A tak btw – myślę, że ocenianie ludzi odnośnie ich “wyżyn intelektualnych” na podstawie krótkiego maila (choć raz jeszcze podkreślam – zgadzam się, że tamten mail to żenada) jest równie profesjonalne, co ocena cech przywódczych kandydatów na pracownika po kolorze krawata (a taki przykład pseudo-HR-owego działania kiedyś widziałem).

    No i pewnie Ci “idioci” przeczytali w życiu jakieś inne książki niż tylko kolejne tomisko o ulubionej technologii (czego o bardzo wielu informatykach powiedzieć nie można) i można z nimi porozmawiać o czymś innym niż tylko technika.

  28. @matja:

    “A tak btw – myślę, że ocenianie ludzi odnośnie ich “wyżyn intelektualnych” na podstawie krótkiego maila (choć raz jeszcze podkreślam – zgadzam się, że tamten mail to żenada) jest równie profesjonalne, co ocena cech przywódczych kandydatów na pracownika po kolorze krawata (a taki przykład pseudo-HR-owego działania kiedyś widziałem).”

    Przyznam, że pisałem dość subiektywnie z uwagi na własne doświadczenia. Chce wierzyć, że jest inaczej, ale ilekroć spotykam kogoś pracującego w HR-e lub w marketingu to odnoszę wrażenie, że niestety ciężko będzie zmienić o nich zdanie.

  29. przyznam, że sjem-mienso też mnie rozbawił setnie :D

  30. […] kilka dni temu publikowaliśmy artykuł o nieprawidłowościach w procesie rekrutacyjnym firmy “Zjem-mięso“, nie sądziliśmy, że ten temat spotka się z tak ogromnym […]

  31. […] -https://niebezpiecznik.pl/post/firma-zjem-mieso-i-luki-w-procesie-rekrutacji/ […]

  32. […] [baczność] iPada [/baczność] , to pewnie zyska sporo media exposure. Takie wycieki jak ten zdarzają się codziennie i na ich podstawie można zdobyć ciekawsze dane niż te z […]

  33. […] do czego można wykorzystać zebrane w ten sposób e-maile, jeśli błąd popełni rekruter — na przykładzie rekrutacji do firmy “ZjemMięso” […]

  34. To tylko takie gdybanie Helgi.Helga nie wysłałaby żadnego maila, bo nie byłaby w stanie opanować emocji.Tak samo z wyłaczeniem bezpieczników a nawet wyniesieniem plakietki poza firmę.Nie spotkałem jeszcze dziewczyny z taką psychą i mocnymi nerwami.Bo takie nie pracują w takich zawodach tylko robią mocniejsze rzeczy ;)

  35. […] przy wysyłaniu masowych e-maili (także tych z życzeniami świątecznymi) trzeba uważać, aby adresy odbiorców umieścić w polu BCC: a nie TO:… Sklep kuplaptopa.pl chyba zapomniał o tej złotej zasadzie, dzięki czemu konkurencja może […]

  36. […] Standardowy błąd podczas wysyłania e-maila. Zamiast do BCC:, dodanie setki adresów e-mail do nagłówka CC:. Efekt? Wiemy kto nie dostał się na informatykę na Politechnice Krakowskiej. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: