image

Nederlands sollicitatieplatform Homerun lekt honderdduizenden cv's

dinsdag 9 november 2021, 10:17 door Redactie, 15 reacties

Bij een aanval op het Nederlandse sollicitatieplatform Homerun zijn honderdduizenden sollicitatiebrieven, cv's en andere privégegevens van mensen gestolen. Het bedrijf zou een deal met de aanvaller hebben gesloten om de buitgemaakte data te verwijderen. Via Homerun kunnen bedrijven vacatures op hun eigen website plaatsen en sollicitatiebrieven ontvangen. Allerlei grote bedrijven maken er gebruik van, zoals Tony's Chocolonely, Mollie, Dopper, Decathlon, Vanmoof, WeTransfer en de VPRO.

Vorige week lieten verschillende mensen via Twitter en online fora weten dat ze door een bedrijf waar ze hadden gesolliciteerd waren gewaarschuwd voor een datalek. Het datalek was ontstaan bij Homerun, aldus de waarschuwing aan getroffen sollicitanten. "Tussen 20 en 26 oktober 2021 heeft een onbevoegde derde zich, middels een hack, toegang verschaft tot de servers van Homerun en heeft daarbij mogelijk toegang gehad tot jouw persoonsgegevens en de eventueel door jou verstrekte documenten. Het betreft bijvoorbeeld je naam, emailadres, een pasfoto en eventuele andere gegevens, zoals een CV, afhankelijk van wat je verstrekt hebt", aldus een bericht van één van de bedrijven.

"We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities. Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen", laat een ander bedrijf weten.

Hoe de aanvaller precies toegang kon krijgen is niet bekend, maar er wordt gesproken over een kwetsbaarheid die inmiddels door Homerun is verholpen. "De systemen van Homerun zijn inmiddels aangepast, zodat het lek niet meer bestaat", stelt één van de gedupeerde bedrijven. Volgens de meldingen heeft het sollicitatieplatform een overeenkomst met de aanvaller gesloten om de gestolen data te verwijderen. Details over de overeenkomst zijn niet gegeven. Volgens RTL Nieuws bestaat de gestolen data uit honderdduizenden sollicitatiebrieven, cv's en andere privégegevens.

Reacties (15)
09-11-2021, 10:37 door Toje Fos
"Tussen 20 en 26 oktober 2021 heeft een onbevoegde derde zich, middels een hack, toegang verschaft tot de servers van Homerun en heeft daarbij mogelijk toegang gehad tot jouw persoonsgegevens en de eventueel door jou verstrekte documenten. Het betreft bijvoorbeeld je naam, emailadres, een pasfoto en eventuele andere gegevens, zoals een CV, afhankelijk van wat je verstrekt hebt", aldus een bericht van één van de bedrijven.

"We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities. Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen", laat een ander bedrijf weten.

"jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren
09-11-2021, 11:00 door Anoniem
Door Toje Fos:
"Tussen 20 en 26 oktober 2021 heeft een onbevoegde derde zich, middels een hack, toegang verschaft tot de servers van Homerun en heeft daarbij mogelijk toegang gehad tot jouw persoonsgegevens en de eventueel door jou verstrekte documenten. Het betreft bijvoorbeeld je naam, emailadres, een pasfoto en eventuele andere gegevens, zoals een CV, afhankelijk van wat je verstrekt hebt", aldus een bericht van één van de bedrijven.

"We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities. Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen", laat een ander bedrijf weten.

"jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren

Welke dienstverlening. "Jij" bent het product waar "zij" aan willen verdienen.

;-)
09-11-2021, 11:21 door Anoniem
Door Toje Fos:
"Tussen 20 en 26 oktober 2021 heeft een onbevoegde derde zich, middels een hack, toegang verschaft tot de servers van Homerun en heeft daarbij mogelijk toegang gehad tot jouw persoonsgegevens en de eventueel door jou verstrekte documenten. Het betreft bijvoorbeeld je naam, emailadres, een pasfoto en eventuele andere gegevens, zoals een CV, afhankelijk van wat je verstrekt hebt", aldus een bericht van één van de bedrijven.

"We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities. Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen", laat een ander bedrijf weten.

"jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren

Je weet niet welk bedrijf dit gestuurd heeft en om wat voor soort vacature het gaat. Bij een sollicitatie als vakkenvuller in de zomervakantie, zal het tutoyeren logischer zijn, dan bij een vacature voor een nieuwe CEO.
09-11-2021, 11:52 door Anoniem
Door Toje Fos: "jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren

De gewoonte om in zakelijke communicatie en verstandhoudingen "jij" en "jouw" te gebruiken, in plaats van het meer formele en respectvoller u en uw, is een overblijfsel uit de democratiseringsgolf eind jaren zestig en zeventig van de vorige eeuw. De tijd dat eerstejaars studenten "hoi" tegen hun professor gingen zeggen.

De bovenklasse heeft dat amicale woordgebruik later meegenomen naar de werkvloer, waar ze het gebruiken tegen de gewone man en vrouw. Door te tutoyeren trachten leidinggevenden te suggereren dat er een sprake zou zijn van een gelijkwaardige verstandshouding tussen werkgever en werknemer, alsof de baas je beste vriend is.
Het verdienmodel van aanbieders zoals Homerun is dat ze schijnbaar goedkoper administratie kunnen leveren door middel van schaalgrootte, die mogelijk wordt gemaakt door een centrale opslag van de sollicitatiegegevens van sollicitanten bij veel verschillende organisaties.

Maar die gecentraliseerde opslag vergroot enorm de privacy-risico's voor de sollicitanten: er hoeft maar één keer een geslaagde hack plaats te vinden, zoals nu, en de gegevens van zeer grote aantallen sollicitanten zijn geroofd.

De "besparing" van de werkgevers en de winst van aanbieders zoals Homerun gaat dus ten koste van de veiligheid van de persoonsgegevens van de sollicitanten. Met andere woorden: de kosten van privacy-bescherming worden "geëxternaliseerd" en het verlies aan privacy-functionaliteit wordt afgewenteld op de sollicitanten.

De sollicitanten hebben geen keus. Ze moeten dit risico op schending van hun privacy accepteren, anders kunnen ze niet solliciteren. Er is dus geen sprake van vrijwillig instemming, maar van gedwongen winkelnering.

Er moet een wet komen die het werkgevers verbiedt om als verwerkingsverantwoordelijken de persoonsgegevens van sollicitanten te delen met externe partijen, en die werkgevers verplicht om de persoonsgegevens van sollicitanten op te slaan in aparte systemen in eigen beheer. In elk systeem mogen tegelijkertijd maximaal de persoonsgegevens van vijfduizend sollicitanten staan. Uiteraard moeten die gegevens na afloop van de sollicitatieprocedure worden vernietigd.

Organisaties die zo groot zijn dat ze op één en hetzelfde tijdstip meer dan vijfduizend sollicitatieprocedures hebben lopen, zijn ook groot genoeg om twee of meer aparte systemen te onderhouden waarin die sollicitatie-gegevens worden opgeslagen.

Het kan prima, als de Nederlandse overheid privacybescherming serieus wil nemen.

Komt er nu bij u, net als bij mij, een wrang grijnsje op uw gezicht? We weten inmiddels dat de Nederlandse overheid (regering, Tweede Kamer, rechterlijke macht, AP) privacy niet serieus wil nemen, en niet eens wil weten wat een serieuze omgang met privacy zou inhouden.

Dus worden er elke week miljoenen persoonsgegevens gehackt, gelekt, buiten de EU gedeeld (met Google e.a.) etc.

M.J.
09-11-2021, 12:11 door Anoniem
Net als het gebruikte taalniveau B1 schat ik de beveiliging ook op die schaal in…
09-11-2021, 12:13 door Anoniem
Door Toje Fos: "jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren
Je tutoyeert op dit forum zelf volop mensen die je niet kent. Kennelijk doe je zelf ook aannames over hoe je mensen aan kan spreken.

Ik heb zelf een voorkeur voor tutoyeren. Ik ben in de jaren 1960-70 opgegroeid in een omgeving waar dat volkomen normaal was, ook voor kinderen om volwassenen aan te spreken, en maakte juist mee dat degenen die op vousvoyeren stonden opmerkelijk vaak fatsoensrakkers waren die enorm veel nadruk op de vorm van de communicatie legden maar zich ondertussen in andere opzichten juist helemaal niet netjes gedroegen. Ik heb daardoor in mijn jeugd vousvoyeren met hypocrisie leren associëren en tutoyeren met een respectvolle omgang.

Ik ben daar niet in blijven hangen, maar het is nooit zover gekomen dat ik vousvoyeren met meer respect ben gaan associeren dan tutoyeren, en het laatste heeft nog steeds mijn voorkeur. De praktijk laat volgens mij zien dat het qua feitelijk respect geen donder uitmaakt of iemand "u" of "je" gebruikt. Dan is het in mijn ogen ook niet iets om zo'n punt van te maken als jij nu doet.
09-11-2021, 13:42 door Anoniem
Op tweakers blijkt dat ze waarschijnlijk via het path traversal lek inn Apache binnen gekomen zijn. Indien dat waar is:
hoe lang zat er tussen de kwetsbaarheid en inbraak?
was er een patch beschikbaar? zo ja, waarom niet geinstalleerd?
was er een tijdelijke verhoogde monitoring of virtuele patch om misbruik tegen te gaan?
09-11-2021, 13:57 door Anoniem
Je weet niet welk bedrijf dit gestuurd heeft en om wat voor soort vacature het gaat. Bij een sollicitatie als vakkenvuller in de zomervakantie, zal het tutoyeren logischer zijn, dan bij een vacature voor een nieuwe CEO.
Dat ligt er maar aan. Ik heb in een organisatie gewerkt waar we de CEO gewoon tutoyeerden en bij de voornaam noemden. Overigens vind ik wel dat dit tutoyeren een beetje uit de klauw is gelopen. Dus het gebruik van "u" heb ik liever. En dit geldt zeker als men de persoon voor de eerste keer ontmoet.
09-11-2021, 15:20 door Anoniem
SUPERSLECHT DIT !!

The Matrix
09-11-2021, 16:10 door Anoniem
Uitgebreide persoonsgegevens zouden zo weinig mogelijk in digitale systemen moeten worden opgeslagen.
vooral als het ook nog eens gaat om uitgebreide persoonsgegevens van heel veel mensen .

Ze zouden de vloer moeten aanvegen met al die bedrijven die een service aanbieden om dergelijke gegevens
grootschalig voor vele bedrijven te verzamelen.
Deze "diensten" worden alleen maar door bedrijven gebruikt, voor het eigen gemak en omdat hun eigen handen dan schoon blijven in geval er iets met die gegevens misgaat: "sorry, bedrijfje dat we er voor hadden ingehuurd heeft het gedaan... niet onze schuld"...
Het zou verboden moeten worden.
Het bedrijf dat het heeft uitbesteed aan een ander bedrijf zou op zijn minst medeverantwoordelijk moeten blijven
en mee moeten bloeden in zo'n geval, zodat ze kritisch kijken of uitbesteden nu wel zo nodig is,
en of het gekozen bedrijf wel van een goede kwaliteit is.
Anders is het natuurlijk vragen om problemen, en rommelt iedereen maar wat aan onder het motto:
ach, shit happens, en mocht er iets misgaan dan zal ons dat nauwelijks raken, want dan draaien zij er voor op."
Terwijl er bovendien nog meer BIG DATA -bedrijven komen die grootschalig veel persoonlijke data van heel veel mensen verzamelen met alle risico's van dien. Dat moeten we met elkaar niet willen!
Wordt wakker mensen!
09-11-2021, 17:43 door Anoniem
Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen
Daarom solliciteer ik ergens ook niet als ik merk dat het via een derde partij loopt. Leuk dat het bedrijf wat daar klant is ze blijkbaar vertrouwd, dat zegt niet dat ik ze ook daadwerkelijk kan vertrouwen. Het feit dat ik m'n al m'n gegevens (CV+motivatie) erheen moet sturen is reden genoeg om daar kritisch op te zijn, en geeft bij mij direct twijfels over hoe die werkgever met gegevens van personeel omgaat.
09-11-2021, 19:00 door Anoniem
Wie gaat die privacy-schade en evt. identiteitsdiefstallen die daaruit voortvloeien betalen/vergoeden?
09-11-2021, 20:50 door Anoniem
de Cv op Werk.nl wordt dagelijks leeg geplukt door vage bedrijfjes en daar hoor ik niemand over.
10-11-2021, 07:06 door Toje Fos
Door Anoniem:
Door Toje Fos: "jij", "jou", "jouw"? Dat tutoyeren [1] in dergelijke berichten alleen al zou mij acuut doen afhaken en laten bedanken voor de geboden dienstverlening.

[1] https://nl.wikipedia.org/wiki/Tutoyeren
Je tutoyeert op dit forum zelf volop mensen die je niet kent. Kennelijk doe je zelf ook aannames over hoe je mensen aan kan spreken.
...

Uitgezonderd een enkeling zijn het hier geen mensen maar pseudoniemen!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.