Forrás - Reddit: https://www.reddit.com/r/programmingHungary/comments/1ft9u8q/public_git…
Public github repo álláskeresői adatokkal
Sziasztok!
Tök véletlen bukkantam rá, saját email címemre keresve kíváncsiságból githubon. Feldobta ezt a repo-t: https://github.com/AndreasGeorgopulos/switch-erp/tree/838dbbda2f82f0bf65d44ba5da3887fcf34168fa/database/seeds/data/applicants
Minden létező infó le van benne jegyzetelve, saját részre sales információk is, kb. az összes magyar IT cég benne van. Főként GDPR miatt tartom aggályosnak (privát telefonszámok, email címek, nevek stb.), de az sem elhanyagolható szempont, hogy pl. a rólam írt adatokból be tudom azonosítani kivel és mikor beszéltem és a beszélgetés során egyszer sem hangzott el, hogy az adataimat egy random github repóban vagy akárhol máshol kezeljék tovább.
Keressetek rá magatokra, hátha szerepeltek benne. Menjen a report ezerrel. Ha van más ötlet, akkor szívesen várom.
- - - - - - - - - -
Személyes megjegyzés:
- A fejvadász cég Linkedinje: https://www.linkedin.com/company/switch-it-fejvadasz-kft/
- Igaz, hogy a repot törölték már, de sokan lementették azt, klónozták. Több exkollégát, kollégát, ismerőst megtaláltam benne.
- Mivel saját magam is megtaláltam benne, ezért a hozzám írt kommentből be tudtam azonosítani, hogy az adatbázis feltételezhető dátuma 2022. októbere és 2022. decembere között készült.
- AJBH honlap: https://www.ajbh.hu
- NAIH honlap: https://www.naih.hu
Update 2024.10.01. 14:39: Telex cikk - https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…
Hozzászólások
A levelezésem alapján kicsit pontosítom az adatszivárgás dátumát: 2022.10.04 és 2022.12.11 között történhetett. Vagy egy akkori dump került ki.
Szerencsére megvan a levelezésem Takács Nórával, ezért tudom ilyen pontosan.
Gyorsan lekerült :)
Ha picit keresel Githubon, akkor megtalálod a klónjait....
Ez már sosem fog lekerülni :D
https://github.com/search?q=switch-erp&type=repositories
switch-erp/database/seeds/data/applicants/
Ezt bizony toroltek.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
Csúnya, nem vagyok rajta de találtam ismerősből nem egyet...
Az. Foleg a megjegyzesek a nevek mellett.
Nemelyik megerne egy rovid beszelgetest valami szakosodott jogasszal...
Az adatszivárgás egy dolog, ott valszeg a fejlesztő tolta el. Node, a HR-esek kis kommentjei, az a nem semmi. Kb beigazolják a sztereotipiákat róluk...
Ahogy látom már a HR-esek között is megy: https://www.linkedin.com/feed/update/urn:li:activity:724680110722874163…
Domain, tárhely és webes megoldások: aWh
Nem Bence, a legszomorubb dolog az, hogy tobb ezer ember privat adatai, meg esetenkent megalazo kommentek kikerultek roluk.
Pont megmutatja, hogy mi az, ami a recruiterekkel a baj: nem törődnek azokkal, akikből élnek. Sokkal fontosabb nekik, hogy legyen egy kis engagement bait, meg egy kis mártírkodás.
Ha valaki már egy első kontakt során "erős jeleket" küld és ezt meg is jegyzik róla, akkor azzal nekem nincsen nagy problémám - igaz nem értek hozzá és nem tudom, hogy mik a (hr) szakma sztenderdjei. ;D
Nyilván van köztük olyan, aki a kommentjét kiérdemelte, de ezt akkor is illegális és nem professzionális ilyen formában tenni, de még nagyobb baj, hogy ez erősen szubjektív dolog, és biztos van olyan eset, amikor nem a munkavállaló, hanem a HR-es volt valójában paraszt, és egy ilyen eset után az önhibáján kívül fog hátrányba kerülni álláskereséskor. És hát valljuk be, a kommenteket olvasgatva az utóbbi eset lehet a gyakoribb.
de legalább backup-juk van :D
zrubi.hu
trey-t az igazi adatszivárgás nem érdekli, azért nem fizetik. csak ha bele tudná keverni valahogy az épült
Lehet, hogy egy Macbook vagy MBP révén kerültek ki ezek az adatok? 😄
Nem nagyon pörög a téma? Vagy mi a baj?
Várj, megpörgetem kicsit!
Lehet, hogy jobban érdekelne ez a leak, ha jobhopper lennék 🫢
De, nekem még a LinkedIn profilomban is be van állítva, hogy "nem keresek állást".
trey @ gépház
Akkor minek a profil? (Komolyan kérdezem.)
Science for fun...
Még én se töröltem, igazából kíváncsiság, hogy egy abszolút nem karbantartott profilra hány hülye ugrik. Arra mondjuk jó, hogy egy-két régebbi kolléga állásváltoztatásáról értesüljek :)
na de te balhopper vagy :)
Kéremszépen, az összes hr-es arc, a linkedin szerint már a Bridge Recruit-nél dolgozik. Switch IT nem volt, nem is létezett.
Domain, tárhely és webes megoldások: aWh
Ott vannak még: https://www.linkedin.com/company/switch-it-fejvadasz-kft/people/
a weboldaluk már 403.
Nem tudom hogy működik ez a linkedinen, de ha rámész adott emberre, ott már ezt a hidas céget irja ki.
Domain, tárhely és webes megoldások: aWh
A switch után a bridge elég nagy visszalépésnek tűnik...
Pisztácia kifogyott, csokoládé nem is volt.
Hát ezzel csak adtak egy pofont önmaguknak. Gerinc kérem, az hiányzik az emberek egy részéből.
Egyébként meg lehetne a nevük "Data lake" Bridge Recruit is ezek után.
Én most csak nézek bután. Hogy a tökbe kerülhetett fel bármilyen titkos cége adat bármilyen nyilvános felhőbe?
A telex cikke szerint valami teszthez lehetett köze, de ez csípőből baromság, ha kell ilyen teszt csv akkor azt fél óra generálni random nevekkel, telefonszámnak és email címnek kinéző értékekkel és lorem ipsum megjegyzésekkel.
Az egész cégnél egyetlen Vér Pisti intézte a teljes IT -t, és neki támadt ez a remek ötlete, hogy legyen az adatbázis az interneten? Tényleg nem volt ott senki más, aki idejében nyakon vágta volna, hogy ember, mit csinálsz?
Tényleg kíváncsi vagyok rá, hogy mi volt az a folyamat, ami ide vezetett.
A forráskód alapján ezekből a csv-kből töltötte be az adatot a db-be (gondolom korábban csak excelbe kezelték), és ezeket a csv-ket commitolta be a fejlesztő (akiről a redditen írta valaki, hogy dolgozott vele pár hónapot, majd elváltak útjaik, mert nem értett hozzá) ész nélkül.
Domain, tárhely és webes megoldások: aWh
Összefoglalva:
Minden szinten profi sztori. :)
https://naszta.hu
Nyilván nem akarom őket nagyon mentegetni, de egyrészt a suszternek is mindig lyukas a cipője, másrészt meg gyanítom igazat beszéltek akkor, amikor azt hitték, hogy nem hallja senki. :-)
Science for fun...
Szerintem annyi a sztori, hogy valaki nagyon nem fizette be a github havidíjat, ezért nyilvánosra váltott a repo, és boldog, boldogtalan forkolta, meg letöltötte.
Nem hiszem hogy GitHub az owner beleegyezese nelkul privat repot publikussa tenne.
Nemfizetes eseten szerintem torlik.
nem ertem, en nem fizetek, sose fizettem nekik es megis vannak privat repoim...
Ha ez így lenne, az nagyon csúnya lenne a Githubtól.
"Pistának jó lesz"
Switch IT-ból hirtelen Bridge Recruittá váló társaság számára össze is lett dobva az új honlap:
https://www.bridgerecruit.hu
Hát nálam erre a telexes cikk jön be.
* Host www.bridgerecruit.hu:443 was resolved.
* IPv6: (none)
* IPv4: 89.106.200.1
* Trying 89.106.200.1:443...
* Connected to www.bridgerecruit.hu (89.106.200.1) port 443
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* ALPN: server accepted http/1.1
* using HTTP/1.x
> GET / HTTP/1.1
> Host: www.bridgerecruit.hu
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
* schannel: server close notification received (close_notify)
< HTTP/1.1 301 Moved Permanently
< Content-Type: text/html; charset=utf-8
< Location: https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…
< Referrer-Policy: no-referrer-when-downgrade
< X-Content-Type-Options: nosniff
< X-Powered-By: redirect.pizza
< X-Server: fra0.prod.edge.redirect.pizza
< Date: Tue, 01 Oct 2024 21:34:41 GMT
< Content-Length: 152
< Connection: close
<
<a href="https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…">Moved Permanently</a>.
* Closing connection
* schannel: shutting down SSL/TLS connection with www.bridgerecruit.hu port 443
that's the point