12:48
11/6/2018

Jeśli kiedykolwiek stworzyłeś sobie CV w generatorze na CV.pl to mamy złą wiadomość. Każdy mógł zobaczyć i pobrać Twoje CV. Co prawda, większość osób w CV nie pozostawia poufnych informacji, ale umieszcza takie informacje jak prywatny numer telefonu, datę urodzenia, swój wizerunek, szczegółowy opis wykształcenia czy inne “wrażliwe” informacje na swój temat, zakładając, że dzieli się nimi tylko z wybraną firmą, a nie całym internetem.

A co się stanie, jeśli zmienię 1 na 2?

Serwis CV.pl to tak naprawdę kreator CV “przez przeglądarkę”. Wystarczy wybrać szablon, podać e-mail i już można tworzyć CV wypełniając wygodny formularz zamiast męczyć się z marginesami i z pozycjonowaniem tekstu spacjami w Wordzie. Niestety kilku naszych Czytelników zauważyło, że link do wygenerowanego CV wygląda tak…

http://www.cv.pl/generuj-cv-2-XXXXXX

Gdzie XXXXXX stanowi jakiś identyfikator. Czytelnicy Niebezpiecznika w takich sytuacjach zazwyczaj sprawdzają, czy zmiana identyfikatora powoduje pokazanie czyjegoś CV. Okazało się, że powoduje. Błąd zweryfikowaliśmy w praktyce i my, często trafiając na niepełne CV, takie jak to:

Co 3-4 próby trafialiśmy jednak na pełne CV, nierzadko ze zdjęciem.

Serwis CV.pl należy do spółki Jobs.pl SA z Warszawy. Skontaktowaliśmy się ze spółką aby zgłosić ten błąd. Dość szybko podziękowano nam za zgłoszenie i usunięto dziurę. To było dla nas najważniejsze. Zadaliśmy spółce dodatkowe pytania.

1. Czy ten wyciek zostanie zgłoszony do UODO zgodnie z art. 32 RODO?
2. Czy osoby, których dane wyciekły, zostaną o tym powiadomione?
3. Od jak dawna ten błąd mógł występować?
4. Czy przeanalizowano logi pod kątem masowego pobierania danych?

Pani Lidia Król przysłała nam w imieniu firmy następującą odpowiedź.

Oczywiście podejmujemy działania zgodnie z przepisami RODO. Bug pojawił się na wskutek zmian dokonanych w ostatnich dniach, które były związane z wymaganiem logowania się – a w zasadzie możliwości aplikowania bez logowania. Mechanizm ten nie został wyodrebniony z tego mechanizmu (całosciowego), natomiast po Państwa zgłoszeniu, natychmiast – w tym samym dniu został przebudowany i tym samym problem został rozwiązany.
Przeanalizowaliśmy logi pod kątem masowego pobierania danych i nie doszło do ich pobrania.

Korzystałem z CV.pl. Co robić? Jak żyć?

Być może pocieszy Cię wiadomość, że wycieki CV po prostu się zdarzają. Przykładowo pisaliśmy o wycieku 11 tys. CV z Uniwersytetu Wrocławskiego

Rada na przyszłość: na czas rekrutacji warto założyć osobną skrzynkę e-mail i numer telefonu. Choćby z tego powodu, że czasem firmy nieumiejętnie odpisują do wszystkich uczestników rekrutacji, ujawniając kto i gdzie stara się o pracę. Kilka lat temu, bank Pekao S.A. za wyciek CV osób, które się do niego rekrutowały, zapłacił karę w wysokości 10 000 PLN jednej z poszkodowanych kobiet (ofiara poczuła się nękana przez internautów i domagała się 35 000 PLN; Sygnatura akt: VI ACa 208/12).

Dane zawarte w CV mogą mieć wartość marketingową, natomiast raczej nie będą wystarczające do wzięcia pożyczki na Twoje dane, chyba że da się je połączyć z innymi Twoimi danymi udostępnionymi przez Ciebie w innych miejscach lub ujawnionymi w innych wyciekach.

Generalnie, na podstawie danych z CV nie powinno się także dać przejąć Twojego konta w innym serwisie, ale na wszelki wypadek zrób rachunek sumienia i jeśli któreś z Twoich haseł lub pytań kontrolnych bazuje na danych, jakie umieściłeś w CV, to zmień je. Potraktuj też ten wyciek jako zachętę do sprawdzenia co jeszcze udostępniasz na sój temat w social mediach i rozważ ograniczenie tych informacji.

Rozważ też ograniczenie korzystania z internetowych generatorów dokumentów. One są wygodne, ale zawsze ryzykujesz wyciek danych przesłanych na niezależny od Ciebie serwer. Na koniec przytoczmy poradę, którą dzielimy się z uczestnikami naszych “cyberwykładów“:

Pamiętaj że wszystko co umieszczasz w internecie , nawet w ramach prywatnej rozmowie, powinno być traktowane jako publicznie dostępne. Zawsze i dla każdego. Bo na skutek wielu błędów tak może się zdarzyć.

Czego przykładem jest właśnie ten wyciek danych z serwisu CV.pl. Aha i to ostrzeżenie dotyczy także wszystkiego, czego nie umieszczasz w internecie, ale co przechowujesz na podpiętych do internetu komputerach i smartfonach. Jeśli ktoś przejmie nad nimi kontrolę (a to też się zdarza), to po prostu dotrze do tych danych.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Tylko, że firmy i agencje pracy już nie chcą “analogowych” CV wysyłanych pocztą tylko każą wszystko wysyłać przez net.

  2. Literówka

    “udostępniasz na sój temat w social mediach “

    • Noo taaaak, przecież przez ta jedną literówkę cały artykuł stał się nieczytelny oraz nie zrozumiały. Dzięki bogu, że czuwasz :)

    • @jeronimo

      Przez tĘ jedną literówkę.
      I niezrozumiały.

      Poza tym nie mam uwag. :)

  3. “pozycjonowaniem tekstu spacjami w Wordzie” – dobre :)

  4. “spacjami w Wordzie” – dobre :-)

  5. ‘Bug pojawił się na wskutek zmian dokonanych w ostatnich dniach’

    Bóg pojawił się na Ziemi 2018 lat temu.
    Język polski trudna języka?
    Pomogę – nie ‘bug’, a błąd.

    • A może rzeka Bug?

    • Nie bądź ignorantem. Przecież oboje wiemy, że chodziło tu o rzekę :)
      A tak na poważnie, to też nie jestem fanem wplatania angielskich słów, gdy mamy dobre polskie odpowiedniki – zwłaszcza w przypadku oficjalnych oświadczeń firmy. W przypadku schładzacza bym im darował :P

    • @Jacek 2018 lat temu to byl ficzer

    • Jaką rzekę, drzewo!

    • 1. A widzisz tam U czy Ó?
      2. Nie wszyscy wierzą, że się pojawił……

  6. Szkoda, że w artykułach tego typu, prawie nigdy nie padają imiona, nazwiska oraz PESELe osób kierujących takimi “biznesami”.

    • Te dane znajdziesz w KRS-ie. :)

    • Wyszukiwarka KRS przestała działać, czy jak…?

    • > Marcin Maziarz & Sosna
      Ale czy w KRS będzie adnotacja o tym zdarzeniu? Chodzi o to, że ludzie działający na szkodę tysięcy innych osób zawsze są ukryci za różnymi nazwami, funkcjami, rzecznikami. Media wymieniają nazwę firmy, a firma wymienia nazwę. Z nazwiskami jest dużo trudniej. Jeszcze gdyby nie chodziło o potencjalny wyciek danych osobowych, to można by zrozumieć. Wyciekają dane osobowe więc naturalnym powinno być, że dane sprawcy chociaż jawne, będą powielane przy okazji każdej informacji w mediach. Wyszukiwarki to lubią.

      Branża IT jest chyba najmniej odpowiedzialną za błędy ze wszystkich innych. Nawet polityków wsadzają, lekarzy i księży również. A w IT jakby wszyscy za TORem nieuchwytni działali.

  7. Ten serwis dalej będzie łamał RODO zdaje się. Nie czytałem ustawy, ale słyszałem, że RODO zakłada, że będziemy przechowywać minimalną ilość danych osobowych, potrzebnych do realizacji usługi przez minimalny możliwy okres.

    Czyli taki dokument wygenerowany przez “gościa” mógłby zniknąć z serwerów zaraz po pobraniu (i czekać np. 3h na pobranie). W przypadku użytkownika zalogowanego od biedy możemy się uprzeć, że chce on wielokrotnie pobierać swoje CV, co też raczej przyda się góra 1% użytkowników. A trzymając tyle tych danych niepotrzebnie się narażamy (ocena ryzyka, kolejna rzecz z RODO).

  8. Tak z ciekawości – jest jakiś paragraf na masowe pobranie np. tych CV i jeśli tak, to dlaczego, skoro te dane są publicznie dostępne?

    • Jak nie przypnę roweru pod sklepem i jest on wtedy ogólnie dostępny to nie znaczy, że możesz sobie go wziąć

    • @Uczciwy: Pytałem o paragraf, nie o alegorię. Tym bardziej zupełnie nietrafioną, bo czym innym jest rower, a czym innym plik z danymi :P Muszą być jakieś regulacje odnośnie pobierania, a właściwie dalszego “przetwarzania” publicznie dostępnych plików. Podejrzewam że znaczenie mogą mieć tutaj intencje, ale nie wiem, dlatego pytam. I nie pytam o aspekt moralny, tylko o aspekt prawny.

  9. A co ze stronami do generowania certyfikatów SSL?
    Przydało by się coś na wzór http://howfuckedismydatabase.com/, aby te wszystkie beztroskie klikacze wiedziały w co się pakują.
    Zamiast odpowiadać ważniakom na debilne pytania przez pół godziny, spuścić mądralę na takie drzewo w stylu howfuckedismypage-because-of-leaked-cert

  10. Tak właśnie kończy się korzystanie z cudogeneratorów czy innych cudostron i karmienie ich swoimi danymi osobowymi. Naprawdę ale CV można napisać samodzielnie bez korzystania z generatorów.
    Jeśli nie musimy gdzieś podawać swoich danych to ich nie podajemy a tym bardziej nie zostawiamy na stronie u mietka czy innego ziutka. Ciekawe czy ludzie tak chętnie rozrzucają drukowane wersje swoich CV po mieście.

    • Jeśli dajmy na to bardzo spodobał się nam szablon CV, który dostępny jest jedynie na tej stronie, to zawsze można to CV wypełnić fikcyjnymi danymi, a następnie po pobraniu wyedytować plik. Chyba że ta strona nie udostępnia CV w wersji edytowalnej, ale to by była głupota ;)

  11. “zostały publicznie ujawnione”. Nie lepiej, prościej, zostały ujawnione lub upublicznione? A odpowiedź pani Lidii Król też jest stylistycznym potworkiem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: