Forrás - Reddit: https://www.reddit.com/r/programmingHungary/comments/1ft9u8q/public_git…
Public github repo álláskeresői adatokkal
Sziasztok!
Tök véletlen bukkantam rá, saját email címemre keresve kíváncsiságból githubon. Feldobta ezt a repo-t: https://github.com/AndreasGeorgopulos/switch-erp/tree/838dbbda2f82f0bf65d44ba5da3887fcf34168fa/database/seeds/data/applicants
Minden létező infó le van benne jegyzetelve, saját részre sales információk is, kb. az összes magyar IT cég benne van. Főként GDPR miatt tartom aggályosnak (privát telefonszámok, email címek, nevek stb.), de az sem elhanyagolható szempont, hogy pl. a rólam írt adatokból be tudom azonosítani kivel és mikor beszéltem és a beszélgetés során egyszer sem hangzott el, hogy az adataimat egy random github repóban vagy akárhol máshol kezeljék tovább.
Keressetek rá magatokra, hátha szerepeltek benne. Menjen a report ezerrel. Ha van más ötlet, akkor szívesen várom.
- - - - - - - - - -
Személyes megjegyzés:
- A fejvadász cég Linkedinje: https://www.linkedin.com/company/switch-it-fejvadasz-kft/
- Igaz, hogy a repot törölték már, de sokan lementették azt, klónozták. Több exkollégát, kollégát, ismerőst megtaláltam benne.
- Mivel saját magam is megtaláltam benne, ezért a hozzám írt kommentből be tudtam azonosítani, hogy az adatbázis feltételezhető dátuma 2022. októbere és 2022. decembere között készült.
- AJBH honlap: https://www.ajbh.hu
- NAIH honlap: https://www.naih.hu
Update 2024.10.01. 14:39: Telex cikk - https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…
Hozzászólások
A levelezésem alapján kicsit pontosítom az adatszivárgás dátumát: 2022.10.04 és 2022.12.11 között történhetett. Vagy egy akkori dump került ki.
Szerencsére megvan a levelezésem Takács Nórával, ezért tudom ilyen pontosan.
Gyorsan lekerült :)
Ha picit keresel Githubon, akkor megtalálod a klónjait....
Ez már sosem fog lekerülni :D
https://github.com/search?q=switch-erp&type=repositories
switch-erp/database/seeds/data/applicants/
Ezt bizony toroltek.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
Biztos?
Ugyan nem github, de fent van.
I don't run often, but when I do, I run as administrator.
A "sosem" elég relatív meghatározás! :D
A világ IQ-ja állandó, csak egyre többen vagyunk rá....
Na baszki, benne vagyok. Erre már minden forkot lepucolt a github, meg se tudom nézni milyen anyázást írtak hozzám, duh!!44
Ha jól látom, akkor semmilyent :)
Honnan tudod, hogy benne vagy?
Hát, a név-telefonszám-email cím eléggé jól azonosít.
https://iotguru.cloud
A kérdés lényegi része a honnan, mivel én még nem láttam ilyen listát. Minden link 404-re mutat :)
Ha nem tudod megszerezni, akkor úgyse vagy rajta... :D
https://iotguru.cloud
Hehe, ez jó volt :) Amiért valószínűbb, hogy nem vagyok rajta. Pl. nem vagyok job hopper, nagyon ritkán beszélek HR-sekkel. Utoljára 10 éve volt váltás. Akkor is cégmegszűnés miatt.
Ha van (2019-20 táján volt) Linkedin profilod, akkor lehet ugyan, hogy nem váltottál, nem kerestél munkát, de ők valahogyan megtaláltak, és onnantól kezdve ott a neved, e-mail címed, Linkedin profilod URL-je a listában.
Csúnya, nem vagyok rajta de találtam ismerősből nem egyet...
Az. Foleg a megjegyzesek a nevek mellett.
Nemelyik megerne egy rovid beszelgetest valami szakosodott jogasszal...
Az adatszivárgás egy dolog, ott valszeg a fejlesztő tolta el. Node, a HR-esek kis kommentjei, az a nem semmi. Kb beigazolják a sztereotipiákat róluk...
Ahogy látom már a HR-esek között is megy: https://www.linkedin.com/feed/update/urn:li:activity:724680110722874163…
Domain, tárhely és webes megoldások: aWh
Nem Bence, a legszomorubb dolog az, hogy tobb ezer ember privat adatai, meg esetenkent megalazo kommentek kikerultek roluk.
Pont megmutatja, hogy mi az, ami a recruiterekkel a baj: nem törődnek azokkal, akikből élnek. Sokkal fontosabb nekik, hogy legyen egy kis engagement bait, meg egy kis mártírkodás.
Ja, már a youtuber kiskölyköknél is rohadt idegesítő ez az "írd meg kommentben" marhaság, de hogy linkedinen :arcpálma: És igazából az a durva, hogy keletkezik valami echo chamber nekik, ahova pár hasonszőrű irogat, és észre se veszik, hogy a 99% valósága soha az életben nem jelenik meg ott, mert senki le se szarja ezeket az izzadtságszagú vackokat.
Ill ha meg mégis, akkor az olyan, mint ami ez alatt is van, hogy azért kapja a tag az ívet, bár meglepően egész finoman, ahogy látom.
Ha valaki már egy első kontakt során "erős jeleket" küld és ezt meg is jegyzik róla, akkor azzal nekem nincsen nagy problémám - igaz nem értek hozzá és nem tudom, hogy mik a (hr) szakma sztenderdjei. ;D
Nyilván van köztük olyan, aki a kommentjét kiérdemelte, de ezt akkor is illegális és nem professzionális ilyen formában tenni, de még nagyobb baj, hogy ez erősen szubjektív dolog, és biztos van olyan eset, amikor nem a munkavállaló, hanem a HR-es volt valójában paraszt, és egy ilyen eset után az önhibáján kívül fog hátrányba kerülni álláskereséskor. És hát valljuk be, a kommenteket olvasgatva az utóbbi eset lehet a gyakoribb.
Hogy mi volt illegális, azt biztos valami hatóság majd megállapítja - belenézve az adatbázisban azok a rekordok biztos problémásak lesznek, amelyekben ott a megjegyzésben az is, hogy kérte az ember az adatai törlését és tovább kezelték.
Hogy egy megkeresésre ki hogy reagál az szerintem lehet egy jó első szűrő - de mondom nem vagyok (hr) szakmabeli. Az biztos, hogy hr-es - jómunkásember szituban a hr-es érdeke, hogy jó jelölteket találjon és ehhez ritkán vezet a parasztságon keresztül út. A jómunkásember meg az aktuális tervei szerint lehetne akár "bunkó" is, de szerintem hosszútávon nem érdeke neki sem. Hogy az ilyen "találkozások" nyomán születő "értékelés" hangneme mennyire "professzionális" az biztos úgy van, ahogy mondod. Az előbbiek miatt erősen kétlem, hogy a "bunkók" önhibájukon kívül kerülnének ilyen megítélés alá. :)
Pl itt ezen a fórumon is emberek megengednek maguknak olyan hangnemet és olyan "vitakultúrát villantanak" ismeretlenül másokkal szemben, ami tippre a világ összes hr és leendő munkaadóját elriasztaná az illető alkalmazásától (ha a konkrét személy beazonosítható lenne).
> azok a rekordok biztos problémásak lesznek, amelyekben ott a megjegyzésben az is, hogy kérte az ember az adatai törlését és tovább kezelték
Ha valaki azt kéri, hogy töröljék az adatait és többé ne keressék meg, az egy oximoron. Ahhoz, hogy tudják, *kit* *ne* keressenek meg többet, muszáj a kontakt infójukat megtartani. De persze azon felül lehet minden mást törölni.
> Hogy egy megkeresésre ki hogy reagál az szerintem lehet egy jó első szűrő
Kivéve, ha pl. te soha nem adtad meg ilyen helyen a számod, de valahogy megszerezték. Egy cold callra teljesen jogos szó nélkül rábaszni a telefont, mintha spam lenne. És én elég sok olyan megjegyzést láttam, hogy az illető nem is keres munkát. Főleg ezeknek volt egy része az, akit parasztnak neveztek.
Van az az erőszakos porszívóügynök, akarom mondani fejvadász / HR-es, akit sokadik felszólítás után már ilyen stílusban kell elküldeni.
Reddit szerint ez a ceg coldcalokkal (is) nyomult.
ezt szerintem alatamasztja a sok nem erdekli valasz.
Domain, tárhely és webes megoldások: aWh
Nem vagyok gdpr szakértő (sem), nem tudom hogy minősül-e önmagában a telefonszám személyes adatnak, de anonimizálva biztos meg lehet tartani arra az esetre egy származtatott adatot (pl hash-t), ha újra szembejönne velük.
A "töröljék az adatait" az magasabb rendű kérés mint a "ne keressék többet". Ezeket a sorokat simán törölni kell az adatbázisból, pont.
Ha véletlenül még egyszer megtalálják akkor így járt. Esetleges panasz esetén rendes audit loggal tudják bizonyítani hogy ők miként jártak el.
Kurva egyszerű dolgok ezek, nem érdemes IT eredetű (látszólagos) korlátok mögé bújva próbálkozni.
Gábriel Ákos
Annak tűnik, de valójában csak slendrián. Ahogy mondod, kb a kontakt infót tel ésvagy email kell megtartani, és egy black opardon blocklistre tenni, minden mást bizony lehet törölni. Illetve, hát igazából lehet törölni, aztán nem fasztudja honnan szedni a kontaktokat, és nem lesz baj jó eséllyel :)
Meg hát, azért egyáltalán nem biztos, hogy tényleg az volt. Én jártam már úgy, hogy linkedinen valamelyik ilyen szőnyegbombázós küldött valami szart, majd 2x! küldött follow-upot, hogy sikerült-e már megnéznem. Aztán mikor válaszoltam neki, egyáltalán nem bunkó, de asszertív stílusban, kb a "szia, ne haragudj, de be van állítva, hogy nem keresek munkát, a link előtti felvezető egy sorod kb az volt, hogy senior ms rendszermérnök, miközben ha megnézed a profilom, tisztán látszik, hogy semmi közöm ilyesmihez, úgyhogy szerintem a cold-callok follow-upja helyett joban jársz, ha megpróbálsz releváns jelölteket találni" + sztenderd körítés, akkor megkaptam, hogy nem érti, miért kell ezt ilyen kioktató stílusban, elég lett volna, egy köszi nem érdekel, csak hogy legyen válasza.
Na, ott pl biztos parasztnak voltam rögzítve, pedig meg se írtam neki, hogy egyrészt a HRes szakmából soha senki nem kérheti számon a másik oldalon, hogy nincs válasz, mert kurvára ezt csináljátok mind, másrészt meg nehogymár bazmeg még neked álljon feljebb, az öntudatos spammer k... kedves nénikédet, aki HResnek képzeli magát, de olyan föld buta bazmeg, hogy a keresendő kifejezéseket se érti láthatólag.
naih állásfoglalás van arról, hogy egyébként személyes adatnak minősülő azonosítóból generált hasht meg lehet tartani ilyen célból. amúgy pedig minden személyes adatot törölni kell.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Nem, van ra megoldas, nem egy projektben fejlesztettunk mar ilyet. Deperszonalizalni kell az adatokat. Mondjuk letarolod az emailbol kepzett hash-t, hogy o torolve lett. Pluszpont, hogy backup helyreallitas eseten is hash alapjan ki lehet hagyni azokat, akik torlest kertek.
Valojaban tokegyszeru a GDPR-compliance, csak mindenki sajnalja azt a 2-3 orat, amig vegiggondolja, hogy mivel mi a teendo. :)
Nekünk üzleti célú felhasználóink vannak, ott csomó jogi okból más szabályok vonatkoznak, ezért nem vagyok naprakész a konkrét esetben. Bevallom, hogy egy LLM-et kérdeztem meg, mit javasol, és azt írta, hogy ilyen célból megtartható a kontakt infó. Ennél több időt meg nem akartam rászánni. Elhiszem, hogy a hash is jó.
de legalább backup-juk van :D
zrubi.hu
trey-t az igazi adatszivárgás nem érdekli, azért nem fizetik. csak ha bele tudná keverni valahogy az épült
Lehet, hogy egy Macbook vagy MBP révén kerültek ki ezek az adatok? 😄
Nem nagyon pörög a téma? Vagy mi a baj?
Várj, megpörgetem kicsit!
Lehet, hogy jobban érdekelne ez a leak, ha jobhopper lennék 🫢
De, nekem még a LinkedIn profilomban is be van állítva, hogy "nem keresek állást".
trey @ gépház
Akkor minek a profil? (Komolyan kérdezem.)
Science for fun...
Még én se töröltem, igazából kíváncsiság, hogy egy abszolút nem karbantartott profilra hány hülye ugrik. Arra mondjuk jó, hogy egy-két régebbi kolléga állásváltoztatásáról értesüljek :)
Ennek rendkívül egyszerű oka van. Számtalanszor előfordult a múltban, hogy egy-egy tenderhez szakmai önéletrajzot kellett bemutatnia a cégünknek. Sajnos a büfé- és ruhatárszakon végzett diplomás asszisztensek (már nem dolgoznak itt) képtelenek voltak egy olyan egyszerű taszk elvégzésére is, hogy ezeket megfelelően karbantartsák és adott esetben elő tudják venni.
Úgy 10 éve ezt meguntam, egyszer beleírtam, utána, amikor jött a kérdés, hogy tudnék-e adni, már csak a linket kellett elküldenem.
Egyébként pedig nem baj ha van, ha egyszer mégis dobbantani szeretnék, csak egy pipát kellene kivennem. Az se baj, ha a cég ezzel tisztában van.
Közben pedig céges kívánalom is lett. Amikor elkezdtünk egy új marketing ügynökségnek dolgozni, akkor jött az igény, hogy "de jó lenne, ha lenne minden dolgozónak LinkedIn profilja és bejelölné a cég profilját".
Nekem akkor ez csak egy kattintás volt.
trey @ gépház
s/ügynökségnek dolgozni/ügynökséggel dolgoztatni/
trey @ gépház
nem lett volna 1xubb kijavitani a hszt mint utolag patchelni? ;)
Nem tudom mi lett volna nektek jó, mert ha közben megszerkesztem, de a szerkesztés alatt válaszoltok, akkor azért fogtok sírni, hogy utólag megszerkesztettem (nekem ugyanis adminként be fog menni a kommentem).
🤷♂️
trey @ gépház
1. megszerkeszted
2. megnezed ha kozbe valaszoltak ra akkor undo-zod a szerkesztest, hogy lesullyedj a pornep jogosulatlansag-szintjere :)
Nincs rá lehetőség. Manuálisan lenne, de nem gondolod, hogy külön kimentem az eredeti állapotot valahova, majd módosítom, utána megnézem, hogy jött-e válasz, ha jött, visszateszem az eredetit (persze veszekszem, hogy valójában nem lett módosítva, mert vissza lett állítva), és akkor aláteszem a kiegészítést?! :D
Akkor inkább a "pont leszarom, nem vagyok én annyira megfizetve, hogy még ezzel is baszakodjak" álláspontra helyezkedek.
trey @ gépház
networkingre? en se keresek munkat, de ha pl van egy olyan projekt amihez olyan szaktudas is kell ami nekem/nekunk nincs, leg1xubb raneznem a linkedin "ismeroseimre" ki dolgozik ilyen teruleten es megkerdezni oket. vagy ha kell kontakt valami ceghez, ranezek hatha dolgozik ott olyan akit ismerek... persze aki minden heten sorozik az osszes ismerosevel es kepben van ki mit es hol dolgozik eppen annak ez folosleges.
van akinek a linkedin csak egy webes CV szerkeszto, nekem inkabb egy szakmai facebook.
na de te balhopper vagy :)
Kéremszépen, az összes hr-es arc, a linkedin szerint már a Bridge Recruit-nél dolgozik. Switch IT nem volt, nem is létezett.
Domain, tárhely és webes megoldások: aWh
Ott vannak még: https://www.linkedin.com/company/switch-it-fejvadasz-kft/people/
a weboldaluk már 403.
Nem tudom hogy működik ez a linkedinen, de ha rámész adott emberre, ott már ezt a hidas céget irja ki.
Domain, tárhely és webes megoldások: aWh
A switch után a bridge elég nagy visszalépésnek tűnik...
Top comment :-D
Pisztácia kifogyott, csokoládé nem is volt.
És mi helyzet a rumosdióval?
Még nincs aláírásom.
Hát ezzel csak adtak egy pofont önmaguknak. Gerinc kérem, az hiányzik az emberek egy részéből.
Egyébként meg lehetne a nevük "Data lake" Bridge Recruit is ezek után.
Én most csak nézek bután. Hogy a tökbe kerülhetett fel bármilyen titkos cége adat bármilyen nyilvános felhőbe?
A telex cikke szerint valami teszthez lehetett köze, de ez csípőből baromság, ha kell ilyen teszt csv akkor azt fél óra generálni random nevekkel, telefonszámnak és email címnek kinéző értékekkel és lorem ipsum megjegyzésekkel.
Az egész cégnél egyetlen Vér Pisti intézte a teljes IT -t, és neki támadt ez a remek ötlete, hogy legyen az adatbázis az interneten? Tényleg nem volt ott senki más, aki idejében nyakon vágta volna, hogy ember, mit csinálsz?
Tényleg kíváncsi vagyok rá, hogy mi volt az a folyamat, ami ide vezetett.
A forráskód alapján ezekből a csv-kből töltötte be az adatot a db-be (gondolom korábban csak excelbe kezelték), és ezeket a csv-ket commitolta be a fejlesztő (akiről a redditen írta valaki, hogy dolgozott vele pár hónapot, majd elváltak útjaik, mert nem értett hozzá) ész nélkül.
Domain, tárhely és webes megoldások: aWh
Összefoglalva:
Minden szinten profi sztori. :)
https://naszta.hu
Nyilván nem akarom őket nagyon mentegetni, de egyrészt a suszternek is mindig lyukas a cipője, másrészt meg gyanítom igazat beszéltek akkor, amikor azt hitték, hogy nem hallja senki. :-)
Science for fun...
Szerintem annyi a sztori, hogy valaki nagyon nem fizette be a github havidíjat, ezért nyilvánosra váltott a repo, és boldog, boldogtalan forkolta, meg letöltötte.
Nem hiszem hogy GitHub az owner beleegyezese nelkul privat repot publikussa tenne.
Nemfizetes eseten szerintem torlik.
Nemfizetes eseten ugy remlik, read-only lesz, de javitsatok ki, en siman csak befizetem :)
Ha szandekosan akarod lemondani, akkor viszont szol, hogy ezeket a dolgokat elobb rendezd el, utana mehet a cancel.
nem ertem, en nem fizetek, sose fizettem nekik es megis vannak privat repoim...
Kell az input az éájnak.
Nem volt az mindig így, de ja... most már.
Amiota a MS megvette, ha jol remlik, szoval jopar eve mar. Bizonyos feature-ok nem mukodnek free account + private repo komboval, pl. branch rule es tarsai.
Ha ez így lenne, az nagyon csúnya lenne a Githubtól.
Évek óta korlátlan privát repository lehet, de anno úgy volt, hogy nem fértél hozzá, ha pricing downgrade történt.
https://iotguru.cloud
"Pistának jó lesz"
Switch IT-ból hirtelen Bridge Recruittá váló társaság számára össze is lett dobva az új honlap:
https://www.bridgerecruit.hu
Hát nálam erre a telexes cikk jön be.
* Host www.bridgerecruit.hu:443 was resolved.
* IPv6: (none)
* IPv4: 89.106.200.1
* Trying 89.106.200.1:443...
* Connected to www.bridgerecruit.hu (89.106.200.1) port 443
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* ALPN: server accepted http/1.1
* using HTTP/1.x
> GET / HTTP/1.1
> Host: www.bridgerecruit.hu
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
* schannel: server close notification received (close_notify)
< HTTP/1.1 301 Moved Permanently
< Content-Type: text/html; charset=utf-8
< Location: https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…
< Referrer-Policy: no-referrer-when-downgrade
< X-Content-Type-Options: nosniff
< X-Powered-By: redirect.pizza
< X-Server: fra0.prod.edge.redirect.pizza
< Date: Tue, 01 Oct 2024 21:34:41 GMT
< Content-Length: 152
< Connection: close
<
<a href="https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…">Moved Permanently</a>.
* Closing connection
* schannel: shutting down SSL/TLS connection with www.bridgerecruit.hu port 443
that's the point
This site is blocked due to a security threat.
This site is blocked due to a security threat that was discovered by the Cisco Umbrella security researchers.
This site was blocked due to the following categories: Newly Seen Domains
Na legalább nem csak én nem tudok eleget a git-ről és a github-ról :D
Máskor meg azért panaszkodtok, mert nem elég transzparens a kiválasztási folyamat...
Valakinek nincs meg lementve? Egyik baratom kerdezi.
Neked is van ilyen kérdezős ismerősöd? Nekem is :-P
Én is megnézném....
"Sose a gép a hülye."
https://randomszamok.github.io/switch-erp-check/
Gábriel Ákos
Ez megbízhatatlan: én biztosan benne voltam az eredeti adatbázisba, itt nem szerepelek.
a wayback machine-nak lehet megvan.
Nem lehet, hanem biztos. Fentebb belinkeltem már.
I don't run often, but when I do, I run as administrator.
a file lista igen de a fileok tartalma mar nem...
Nálam bejött a fájlok tartalma is...
https://iotguru.cloud
Nem mind jon be, pl a 16_etikus_hacker.csv nem jon be. Nem mindrol csinalt masolatot a wayback machine.
És benne vagy? :D
trey @ gépház
Többször is... :D
https://iotguru.cloud
Megnéznéd, hogy benne vagyok-e? :D
trey @ gépház
Nem vagy benne.
https://iotguru.cloud
Köszi!
Meg is lepődtem volna, kb. a valóságtartalmát vonta volna kétségbe. Lehet, hogy egy pert is megért volna, személyes adatok engedély nélküli beszerzése és tárolása címén.
BTW: aki explicit nem járult hozzá, hogy a személyes adatait tárolják, az ilyen pert jó eséllyel indíthatna. AFAIK, az önéletrajzok tárolásához is hozzájárulás szükséges.
trey @ gépház