#CyberMagazyn: Znalazłem CV przez Google... żołnierza, wykładowcy i wielu innych

Niedawno opisywaliśmy możliwość znalezienia wielu danych osobowych na portalu Docer. Wśród nich znajdowały się m.in. informacje o polskich uczniach. W listopadzie ub. r. na tym samym portalu można było pobrać wojskowe dokumenty Sił Zbrojnych RP, co opisywał Defence24.

Tym razem skupiliśmy się na wyszukiwarkach internetowych i tzw. google hackingu, czyli wysyłaniu zapytań zawierających określone parametry. W przeszłości pozwoliło to znaleźć m.in. arkusz Excela z numerami PESEL.

Niniejszy artykuł ma na celu wykazanie łatwości w znalezieniu dokumentów, które nigdy nie powinny być widoczne z poziomu internetu. Z tego powodu nie podajemy konkretnych zapytań, które pozwalają znaleźć dokumenty z danymi osobowymi. Informacje są prezentowane w celu edukacyjnym. Poinformowaliśmy właścicieli witryn lub CSIRT-y o zaistniałych sytuacjach.

Wszystkie dane z poniższego artykułu pochodzą z ogólnodostępnych źródeł. Za przełamanie zabezpieczeń grożą dwa lata więzienia, zgodnie z art. 267 Kodeksu Karnego.

Adres zamieszkania w dokumentach

Potencjalny pracodawca nie musi otrzymywać naszego adresu zamieszkania w CV. W wielu przypadkach nie ma uzasadnionego powodu podawania takich informacji na samym początku rekrutacji. Jak sprawdziliśmy, tego typu informacje można znaleźć z poziomu wyszukiwarki internetowej.

Ciekawym przypadkiem są zamarkowane dokumenty w formacie PDF. W wielu przypadkach wystarczy otworzyć dany plik za pomocą Worda, aby uzyskać pierwotne informacje.

Zdarzają się również sytuacje, gdzie CV nie pochodzi ze strony internetowej w domenie .pl oraz zawiera numer PESEL. Na pierwszy rzut oka dane wydają się niewidoczne, lecz wystarczy otworzyć je w Wordzie, aby wszystko odkryć. Wówczas zamarkowanie znacząco zmienia swoją pozycję, zaś do wydobycia danych wystarczy je skopiować.

Hurtowe zbiory CV

W niektórych przypadkach w sieci dostępny jest jeden dokument z danej witryny, który nie powinien się tam znaleźć. Taka sytuacja miała miejsce m.in. na serwerze jednego z wojewódzkich Związków Piłki Siatkowej, gdzie arkusz Excela zawierał dane osobowe młodych zawodników.

Co więcej, w zbiorach jednego z polskich uniwersytetów możemy znaleźć ponad 70 CV, tworzonych w dużej mierze z wykorzystaniem gotowego wzorca. Pliki najprawdopodobniej dotyczą wykładowców uczelni. Na szczęście nie ma w nich numerów PESEL.

Zawód nie ma znaczenia

W zdecydowanej większości przypadków dokumenty zawierające dane osobowe nie zostały zamieszczone przez osobę, której dotyczą. Podczas wysyłania odpowiednich zapytań do wyszukiwarki Google udało się znaleźć m.in. CV polskiego oficera, zawierające wiele danych osobowych. Oprócz tego można dotrzeć do CV starszego specjalisty ds. bezpieczeństwa w jednym z banków.

Cenna rada

Nie mamy bezpośredniego wpływu na to, jak przetwarzane są nasze dane osobowe przez organizację, której je powierzyliśmy. Dobrej rady udzielił Kacper Szurek na portalu X – możemy cyklicznie wyszukiwać swoje imię i nazwisko w wyszukiwarce internetowej, zawarte pomiędzy cudzysłowami. Może to przyczynić się do poprawy naszego poziomu bezpieczeństwa poprzez wykrycie niepożądanych treści.

Zgłosiliśmy fakt dostępności CV odpowiednim podmiotom kilka dni przed publikacją artykułu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].