[Frissítve] Adatszivárgás a Switch IT Fejvadász és Tanácsadó Kft.-nél

Közösségi kerekasztal

Forrás - Reddit

Public github repo álláskeresői adatokkal

Sziasztok!

Tök véletlen bukkantam rá, saját email címemre keresve kíváncsiságból githubon. Feldobta ezt a repo-t

Minden létező infó le van benne jegyzetelve, saját részre sales információk is, kb. az összes magyar IT cég benne van. Főként GDPR miatt tartom aggályosnak (privát telefonszámok, email címek, nevek stb.), de az sem elhanyagolható szempont, hogy pl. a rólam írt adatokból be tudom azonosítani kivel és mikor beszéltem és a beszélgetés során egyszer sem hangzott el, hogy az adataimat egy random github repóban vagy akárhol máshol kezeljék tovább.

Keressetek rá magatokra, hátha szerepeltek benne. Menjen a report ezerrel. Ha van más ötlet, akkor szívesen várom.

Személyes megjegyzés:

  • A fejvadász cég Linkedinje
  • Igaz, hogy a repot törölték már, de sokan lementették azt, klónozták. Több exkollégát, kollégát, ismerőst megtaláltam benne.
  • Mivel saját magam is megtaláltam benne, ezért a hozzám írt kommentből be tudtam azonosítani, hogy az adatbázis feltételezhető dátuma 2022. októbere és 2022. decembere között készült.
  • AJBH honlap
  • NAIH honlap

Update 2024.10.01. 14:39: Telex: Több ezer ember személyes adatai szivárogtak ki egy fejvadászcégtől

Update 2024.10.03. 16:20: Telex: Megszólalt a fejvadászcég, ahonnan több ezer ember adatai szivárogtak ki: Egy külsős fejlesztő hibázott

Update 2024.10.06. 19:15: Eltelt 5 nap, de a Switch IT még mindig nem értesített az adatszivárgásról. Viszont a "Have I Been Pwned" igen. Lásd: https://hup.hu/comment/3122521#comment-3122521

Update 2024.10.07. 21:25: Telex: Eljárást indított az adatvédelmi hatóság a fejvadászcég ellen, ahonnan több ezer ember adatai szivárogtak ki

  • 16702 megtekintés

( n.balazs v | 2024. 10. 01., k – 12:46 )

A levelezésem alapján kicsit pontosítom az adatszivárgás dátumát: 2022.10.04 és 2022.12.11 között történhetett. Vagy egy akkori dump került ki.

Szerencsére megvan a levelezésem Takács Nórával, ezért tudom ilyen pontosan.

( hunluki | 2024. 10. 01., k – 13:52 )

Csúnya, nem vagyok rajta de találtam ismerősből nem egyet... 

az egészben az a legszomorúbb, hogy ezzel azok a fejvadászok és recruiterek is zsebeltek be bőven fekete pontot, akik eddig is mindent tankönyvszerűen csináltak

Nem Bence, a legszomorubb dolog az, hogy tobb ezer ember privat adatai, meg esetenkent megalazo kommentek kikerultek roluk.

Ja, már a youtuber kiskölyköknél is rohadt idegesítő ez az "írd meg kommentben" marhaság, de hogy linkedinen :arcpálma: És igazából az a durva, hogy keletkezik valami echo chamber nekik, ahova pár hasonszőrű irogat, és észre se veszik, hogy a 99% valósága soha az életben nem jelenik meg ott, mert senki le se szarja ezeket az izzadtságszagú vackokat.

Ill ha meg mégis, akkor az olyan, mint ami ez alatt is van, hogy azért kapja a tag az ívet, bár meglepően egész finoman, ahogy látom.

Nyilván van köztük olyan, aki a kommentjét kiérdemelte, de ezt akkor is illegális és nem professzionális ilyen formában tenni, de még nagyobb baj, hogy ez erősen szubjektív dolog, és biztos van olyan eset, amikor nem a munkavállaló, hanem a HR-es volt valójában paraszt, és egy ilyen eset után az önhibáján kívül fog hátrányba kerülni álláskereséskor. És hát valljuk be, a kommenteket olvasgatva az utóbbi eset lehet a gyakoribb.

Hogy mi volt illegális, azt biztos valami hatóság majd megállapítja - belenézve az adatbázisban azok a rekordok biztos problémásak lesznek, amelyekben ott a megjegyzésben az is, hogy kérte az ember az adatai törlését és tovább kezelték.

Hogy egy megkeresésre ki hogy reagál az szerintem lehet egy jó első szűrő - de mondom nem vagyok (hr) szakmabeli. Az biztos, hogy hr-es - jómunkásember szituban a hr-es érdeke, hogy jó jelölteket találjon és ehhez ritkán vezet a parasztságon keresztül út. A jómunkásember meg az aktuális tervei szerint lehetne akár "bunkó" is, de szerintem hosszútávon nem érdeke neki sem. Hogy az ilyen "találkozások" nyomán születő "értékelés" hangneme mennyire "professzionális" az biztos úgy van, ahogy mondod. Az előbbiek miatt erősen kétlem, hogy a "bunkók" önhibájukon kívül kerülnének ilyen megítélés alá. :)

Pl itt ezen a fórumon is emberek megengednek maguknak olyan hangnemet és olyan "vitakultúrát villantanak" ismeretlenül másokkal szemben, ami tippre a világ összes hr és leendő munkaadóját elriasztaná az illető alkalmazásától (ha a konkrét személy beazonosítható lenne).

> azok a rekordok biztos problémásak lesznek, amelyekben ott a megjegyzésben az is, hogy kérte az ember az adatai törlését és tovább kezelték

Ha valaki azt kéri, hogy töröljék az adatait és többé ne keressék meg, az egy oximoron. Ahhoz, hogy tudják, *kit* *ne* keressenek meg többet, muszáj a kontakt infójukat megtartani. De persze azon felül lehet minden mást törölni.

> Hogy egy megkeresésre ki hogy reagál az szerintem lehet egy jó első szűrő

Kivéve, ha pl. te soha nem adtad meg ilyen helyen a számod, de valahogy megszerezték. Egy cold callra teljesen jogos szó nélkül rábaszni a telefont, mintha spam lenne. És én elég sok olyan megjegyzést láttam, hogy az illető nem is keres munkát. Főleg ezeknek volt egy része az, akit parasztnak neveztek.

De hát ez a GDPR lényege! A telefonszám, az email cím és a lakcím személyes adatnak minősül, és kérheted a törléslét. És ha kéred a törlést, kutya kötelessége a cégnek törölni, különben törvényt sért.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

A "töröljék az adatait" az magasabb rendű kérés mint a "ne keressék többet". Ezeket a sorokat simán törölni kell az adatbázisból, pont.
Ha véletlenül még egyszer megtalálják akkor így járt. Esetleges panasz esetén rendes audit loggal tudják bizonyítani hogy ők miként jártak el.

Kurva egyszerű dolgok ezek, nem érdemes IT eredetű (látszólagos) korlátok mögé bújva próbálkozni. 

Gábriel Ákos

Ha valaki azt kéri, hogy töröljék az adatait és többé ne keressék meg, az egy oximoron. Ahhoz, hogy tudják, *kit* *ne* keressenek meg többet, muszáj a kontakt infójukat megtartani. De persze azon felül lehet minden mást törölni.

Annak tűnik, de valójában csak slendrián. Ahogy mondod, kb a kontakt infót tel ésvagy email kell megtartani, és egy black opardon blocklistre tenni, minden mást bizony lehet törölni. Illetve, hát igazából lehet törölni, aztán nem fasztudja honnan szedni a kontaktokat, és nem lesz baj jó eséllyel :)

Kivéve, ha pl. te soha nem adtad meg ilyen helyen a számod, de valahogy megszerezték. Egy cold callra teljesen jogos szó nélkül rábaszni a telefont, mintha spam lenne. És én elég sok olyan megjegyzést láttam, hogy az illető nem is keres munkát. Főleg ezeknek volt egy része az, akit parasztnak neveztek.

Meg hát, azért egyáltalán nem biztos, hogy tényleg az volt. Én jártam már úgy, hogy linkedinen valamelyik ilyen szőnyegbombázós küldött valami szart, majd 2x! küldött follow-upot, hogy sikerült-e már megnéznem. Aztán mikor válaszoltam neki, egyáltalán nem bunkó, de asszertív stílusban, kb a "szia, ne haragudj, de be van állítva, hogy nem keresek munkát, a link előtti felvezető egy sorod kb az volt, hogy senior ms rendszermérnök, miközben ha megnézed a profilom, tisztán látszik, hogy semmi közöm ilyesmihez, úgyhogy szerintem a cold-callok follow-upja helyett joban jársz, ha megpróbálsz releváns jelölteket találni" + sztenderd körítés, akkor megkaptam, hogy nem érti, miért kell ezt ilyen kioktató stílusban, elég lett volna, egy köszi nem érdekel, csak hogy legyen válasza.

Na, ott pl biztos parasztnak voltam rögzítve, pedig meg se írtam neki, hogy egyrészt a HRes szakmából soha senki nem kérheti számon a másik oldalon, hogy nincs válasz, mert kurvára ezt csináljátok mind, másrészt meg nehogymár bazmeg még neked álljon feljebb, az öntudatos spammer k... kedves nénikédet, aki HResnek képzeli magát, de olyan föld buta bazmeg, hogy a keresendő kifejezéseket se érti láthatólag.

Ha valaki azt kéri, hogy töröljék az adatait és többé ne keressék meg, az egy oximoron. Ahhoz, hogy tudják, *kit* *ne* keressenek meg többet, muszáj a kontakt infójukat megtartani. De persze azon felül lehet minden mást törölni.

naih állásfoglalás van arról, hogy egyébként személyes adatnak minősülő azonosítóból generált hasht meg lehet tartani ilyen célból. amúgy pedig minden személyes adatot törölni kell.

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Ha valaki azt kéri, hogy töröljék az adatait és többé ne keressék meg, az egy oximoron.

Nem, van ra megoldas, nem egy projektben fejlesztettunk mar ilyet. Deperszonalizalni kell az adatokat. Mondjuk letarolod az emailbol kepzett hash-t, hogy o torolve lett. Pluszpont, hogy backup helyreallitas eseten is hash alapjan ki lehet hagyni azokat, akik torlest kertek. 

Valojaban tokegyszeru a GDPR-compliance, csak mindenki sajnalja azt a 2-3 orat, amig vegiggondolja, hogy mivel mi a teendo. :)

Nekünk üzleti célú felhasználóink vannak, ott csomó jogi okból más szabályok vonatkoznak, ezért nem vagyok naprakész a konkrét esetben. Bevallom, hogy egy LLM-et kérdeztem meg, mit javasol, és azt írta, hogy ilyen célból megtartható a kontakt infó. Ennél több időt meg nem akartam rászánni. Elhiszem, hogy a hash is jó.

 Bevallom, hogy egy LLM-et kérdeztem meg, mit javasol... Ennél több időt meg nem akartam rászánni...

Founder mode!

dawg i chatgpt'd the license, anyone is free to use our app for free for whatever they want. if there's a problem with the license just lmk i'll change it. we busy building rn can't be bothered with legal

https://x.com/bmjyorston/status/1840727269737644130?s=61

Ahhoz, hogy tudják, *kit* *ne* keressenek meg többet, muszáj a kontakt infójukat megtartani. De persze azon felül lehet minden mást törölni.

Ez így nem teljesen igaz. Sem adatvédelmileg, sem IT szakmailag. Álnevesítés esetén úgy kell elhashelni / titkosítani az adatokat, hogy abból ne lehessen előállítani az eredeti adatokat. Pl: rákeresnek adott telefonszámra és az csak az elkódolt rekordok között van meg, akkor az egy "törölt" rekord kell, hogy legyen. Ha ez a rákeresés működik, akkor álnevesítésről beszélünk. Ha nem, akkor anonimizálás.
Adatvédelmi szempontból a "felejtés joga" egy nagyon izgalmas és érdekes kérdés.

Kollégákkal többször csináltunk ilyen álnevesítést / anonimizálást adatbázis szinten. Kritikus, hogy tudni kell, hogy pontosan mikor lett az adott rekord "elkódolva". Ha megoldható, akkor ezeket a rekordokat idővel ténylegesen is törölni kell.

Forrás, ha valakit érdekel: https://commission.europa.eu/law/law-topic/data-protection/reform/what-…

Tök jó, hogy már vagy a hatodik ember néz hülyének ugyanaz miatt.

A további fölösleges körök elkerülése végett olvassátok el ezt: https://ico.org.uk/for-organisations/direct-marketing-and-privacy-and-e…

"If someone no longer wants you to use their information for direct marketing purposes, you should put their details onto a suppression or ‘do not contact’ list, instead of deleting them."

Kulcsszó: GDPR suppression list. Egy szó sincs itt arról, hogy muszáj lenne hashelni. Szerintük simán meg lehet tartani ilyen célból az eredeti elérhetőségi adatokat.

Kulcsszó: GDPR suppression list.

Korábbi neve: https://en.wikipedia.org/wiki/Robinson_list

Egy szó sincs itt arról, hogy muszáj lenne hashelni. Szerintük simán meg lehet tartani ilyen célból az eredeti elérhetőségi adatokat.

Az van, hogy sok cég a totális biztonságra megy és nem deríti fel a tényleges határokat, hanem még jó messze a határoktól megáll, mert abból nem lesz baj. És ezzel nincs is semmi probléma. A probléma az, amikor erre alapozva jelentik ki, hogy ők bizony a határon vannak és minden további lépés már minimum szürkezóna.

https://iotguru.cloud

A GDPR nem arról szól, hogy nem kezelhetik a személyes adataidat.

A GDPR arról szól, hogy definiálja azt, hogy ki és mikor kezelheti a személyes adataidat, és milyen folyamatot kell ehhez betartania.

És van olyan eset, hogy kötelező személyes adatot kezelni (például egy opt-outnál), amikor így van, akkor is be kell tartani a GDPR előírásait a személyes adatok kezelésének folyamatáról.

Ha szerződéses kötelezettség van, akkor kezelhetik az adataidat a jóváhagyásod nlkül. Meg akkor is, ha az adatkezelő jogos érdekéhez tartozik.

 

  • az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges (szerződés áll fenn az ön vállalkozása/szervezete és egy ügyfél között);
  • az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges, de ekkor ellenőriznie kell, hogy az adatkezelés során az érintettek alapvető jogai és szabadságai nem sérülnek-e súlyosan. Amennyiben az érintett jogai elsőbbséget élveznek a vállalkozás/szervezet érdekeivel szemben, az nem végezhet adatkezelést jogos érdekeinek érvényesítése érdekében. Annak értékelése, hogy az adatkezelés tekintetében az ön vállalkozása/szervezete jogos érdekei elsőbbséget élveznek-e az érintettek érdekeivel szemben, az adott helyzet egyedi körülményeitől függ.

A két kiemelt közül egy cold call adatbázis esetében egyik sem áll fenn. Mert sem  szerződésben nem álltok, sem jogos érdeke nincs.

Pont ezek miatt a marketinges és fejvadász cégek 90%-ra rá lehet húzni a vizes lepedőt.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Van olyan, hogy törvényi előírás a személyes adat kezelése, te hiába tiltod le.

Nem minden esetben, de van, amikor az adatkezelőnek kötelező kezelnie a személyes adataidat.

https://commission.europa.eu/law/law-topic/data-protection/reform/rules…

Itt láthatod, hogy azon az eseten kívül, hogy te jóváhagytad a személyes adatok kezelését, még van jó pár eset, amikor kezelhetik a személyes adataidat, a hozzájárulásod nélkül is, mert kötelező.

Hát ha például nyilván kell tartani, hogy kit nem szabad keresni milyen telefonszámon és e-mail címen, akkor bizony ezeket az adatokat nyilván kell tartaniuk. Nem kezelhetik más célra, de attól még kezelniük kell erre a célra, hiszen jogos érdekük, hogy te kérted, hogy ezen a telefonszámon és e-mail címen többé ne keressenek.

Ha kitörölnek veled kapcsolatban minden személyes adatot, akkor honnan kéne tudniuk, hogy téged nem kereshetnek/tárolhatnak többet?

A GDPR nem arról szól, hogy nem tárolhatnak személyes adatot és te minden esetben kérheted a törlést, a GDPR arról szól, hogy mikor tárolhatnak, és ha tárolnak, azt miként kell megtegyék.

Fordítva ülünk a lovon: ne folytassanak olyan gazdasági tevékenységet ami eleve törvénysértésre rendezkedett be.

Adjanak elérhetőséget ahol én tudom jelezni ha azt szeretném hogy kapcsolatba lépjenek velem.

Te most egy színtiszta üzleti érdeket próbálsz védeni, GDPR biztosan nem rendelkezik arról hogy a gazdasági érdekek előrébb valók a személyes adatok védelménél.

Miért lenne törvénysértésre ez berendezkedve? 

Legyen egy honlap ahol én tudom jelezni ha azt szeretném hogy kapcsolatba lépjenek velem.

Hát ugye, valahonnan megszerezték a személyes adatodat, ha már tárolják - lehet ez ajánlás mástól, lehet ez publikus CV stb. A probléma nem ott van, hogy kezelik az adatodat, ha jogszerűen hozzájutottak.

A kérdés mindig az, hogy hogyan jutottak hozzá az adataidhoz. Feltöltötted publikusan a LinkedInre? Elérhetővé tetted a Professionön keresztül?

Nézd meg akkor a LinkedIn meg a Profession adatkezelési irányelveit, hogy mit kezdhetnek mások az oldalon közzétett adataiddal, mihez járulsz hozzá, amikor megadod a LinkedInnek meg a Profession-nek a CV-det. Mert te valahol hozzájárultál az adataid kezeléséhez, sőt, lehet, hogy a továbbításához is. Ezért kell elolvasni a sok hosszú és unalmas jogi szöveget arról, hogy mi történik az adataiddal, ha feltöltöd valahova.

De nem a fejvadász adatkezelő jár el jogellenesen, hanem a kollégád, meg a LinkedIn.

Amúgy a LinkedIn használati feltételeiben, meg  adatkezelési feltételeiben benne van, hogy azokat az adatokat bárki elérheti, hozzájárulsz, amikor feltöltöd oda:

https://www.linkedin.com/legal/user-agreement-summary

  • When you share information on our Services, you understand that others can see, copy and use that information.

https://www.linkedin.com/legal/privacy-policy#share

A 3.4-es pontban excpliciten le is írják, hogy megosztják az adataidat másokkal:

We will share your personal data with our Affiliates to provide and develop our Services. For example, we may refer a query to Bing in some instances, such as where you'd benefit from a more up to date response in a chat experience. In regions outside the Designated Countries, we may also share your publicly-shared content (such as your public LinkedIn posts) with our Affiliates, including Microsoft, to provide or develop their services. Where allowed, we may combine information internally across the different Services covered by this Privacy Policy to help our Services be more relevant and useful to you and others. For example, we may personalize your feed or job recommendations based on your learning history.

Ezt te elolvastad, amikor feltöltötted a profilodat LinkedInre?

Amikor a profilodat elérhetővé tetted LinkedInen, akkor ehhez hozzájárultál, innentől kezdve a GDPR-ban a legalapabb kategóriába esik az adatod:
 

  • az érintett hozzájárulását adta személyes adatainak kezeléséhez;

De nem a fejvadász adatkezelő jár el jogellenesen, hanem a kollégád, meg a LinkedIn.

Ez így nem igaz. Tőlem, mint természetes személytől kell beszerezni az adataim kezeléséhez a hozzájárulást. Az, hogy egyesek ezeket a szabályokat áthágják, az természetes még most.

A Linkedin meg ugyanúgy lerázza magáról a felelősséget, mint bármely nagy multi.

Ha kitörölnek veled kapcsolatban minden személyes adatot, akkor honnan kéne tudniuk, hogy téged nem kereshetnek/tárolhatnak többet?

Ezt a ket dolgot el kell valasztani, ne mossuk ossze. Van az, hogy "ne keressetek tobbet", es van az, hogy "ne kezeljetek tovabb az adataimat", es mindkettonek megvannak a mellekhatasai, illetve a kivetelei.

Mukodhet persze.

A GDPR alapvetoen egy gumiszabaly, iranyvonalakrol jelol ki, nem implementacios reszleteket. Kerhetsz olyat, hogy torles+nocontact de akkor a suppression list miatt jogos erdeket keletkeztetsz az adatkezeleshez, szoval az emailed pl. felkerulhet ra attol meg, hogy a core tevekenyseg rendszereibol kipucoljak. 

Ha csak egy dolgot jegyez meg valaki a GDPR-bol az annyi, hogy a jogos erdek az isten, ha az van, akkor minden van. Ertsd jol, vitas esetben nem art, ha a hatosag is jogosnak latja. :)

Ennél komplexebb. Amennyiben jelzed, hogy ne kezeljék az adataidat, akkor neki jogos érdeke lesz bizonyos személyes adataidnak a kezelésére, de nem lépheti túl azt. Tárolhatja a nevedet, a "ne kezeljétek az adataimat" adatbázisban, de nem tárolhatja a személyes adataidat, szexuális preferenciádat mellette. Mert a jogos érdeke a te azonosíthatósàgodig terjed.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Te jogos érdek alatt azt a gazdasági érdeket érted, ahol össze - vissza vadásznak személyes adatok után, majd időnként megkeresik az érintettet, megosztják a személyes adatokat harmadik féllel?

Továbbra is azt gondolom hogy előzetes hozzájárulás nélkül nem lehet személyes adatot kezelni. Márcsak azért sem mert ha lehetne akkor azt sem tudnád megmondani hogy kinél vannak éppen az adataid.

A jogos erdeknek tudomasom szerint nincs egzakt listaja, de kb. az a jogos erdek, amit jogszabaly ir elo, vagy a core business mukodesehez szukseges.

Tehat mondjuk:

  • jogszabaly alapjan
    • banki adatok megorzese X evig
    • suppression listan emailek, hogy eleget tudj tenni a no-contact kereseknek
  • core business miatt:
    • biztositonal kortortenet
    • social media szolgaltatonal, hogy ki van bannolva

Fontos, hogy ez nem azt jelenti, hogy ezeket minden korulmenyek kozott kezelheti a ceg. Viszont ha toroltetni akarod, akkor a jogos erdek fennallasat kell elobb megszuntetni. Toroltetni akarod a korelozmenyedet az egeszsegbiztositonal? Rendben, de elotte fel kell mondani a szerzodest veluk. Stb.

A jogos érdek ennél szűkebb. A jogszabály, szerződés, hozzájárulás (ezeket te is említed) nem jogos érdek, az más jogalap. Az említett egészségbiztosítós példád sem jogos érdek, hanem szerződés teljesítéséhez szükséges. Ahogy mondjuk a banknak szüksége van a telefonszámodra ahhoz, hogy pl. a számlamozgásodról tudjon SMS-t küldeni.

Jogos érdek mindazon dolog ami neked a saját jogbiztonságod, vagy jogszabályi kötelességed teljesítéséhez fűződik. Pl. egy user tevékenységének loggolása jogos érdek, ha ez az adat arra szolgál, hogy Hacker Istvánt a bíróság elítélje. Viszont nem jogos érdek, hogy ugyanebből a logból pénzt csinálj. Ezért különbözteti meg az adatot és annak gyűjtésének a célját és annak kezelését a GDPR. Lehet átfedés a kettő között, de azt az adatgyűjtésekor már tisztázni kell.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Elég ha egy valamire gondolsz: névre szóló számla. Hiába töröl téged mert megszünteted a hozzáférésed/kéred telefonon a számlát nem tudja megszüntetni mert az más oknál fogva megőrzés köteles. (sok más példa volt, de ez pl egy ami szerintem könnyen érthető)

Ket opcio van:

  1. Ne keressenek tobbet (egyaltalan, bizonyos temaban, bizonyos csatornan, etc.)
    Itt rogzited az uj preferenciakat, de megtarthatod az adatokat es szolgaltathatsz tovabb az ugyfelnek. Pl. van egy bankszamlam, es felszolitom a bankot, hogy ne keressen telefonon termekajanlatokkal.
  2. Ne taroljak az adataidat
    Itt a foszabaly az, hogy ki kell torolni amit lehet, de nyilvan nem mindent lehet. Nem tudod az inkrementalis backupbol kiszedni pl. a rekordokat, vagy egyszeruen csak olyan a DB architektura (cascade-ek, stb.,), hogy nem maradhat ures rekord. Ilyenkor deperszonalizalod az adatot, vagy a backup restore miatt csinalsz egy hash-alapu exclusion listat.

A ketto fuggetlen egymastol, de persze a kettes opcionak mellekhatasa az egyes.

Te azt állítottad, hogy kötelező törölni az adatot kérésre, csak deperszonalizált vagy hash formában maradhat meg. (Vagy ha nem ezt állítod, akkor nem tudom, mi a különbség az 1-es és 2-es pontod között, írd le légyszi.)

A linkelt doksi meg azt állítja, hogy törlési kérés esetén is megmaradhat az eredeti adat (ez a különbség, nem írja elő, hogy deperszonalizálni/hashelni kell).

Vagy ha nem ezt állítod, akkor nem tudom, mi a különbség az 1-es és 2-es pontod között, írd le légyszi.

Itt leirtam: https://hup.hu/comment/3121171#comment-3121171

A linkelt doksi

A linkelt doksit tegyuk mar felre, a PECR nem relevans Magyarorszagon, az egy brit jogszabaly

törlési kérés esetén is megmaradhat az eredeti adat

A hangsuly azon van, hogy megmaradhat, azaz ahol jogos erdeke van az adatkezelonek az adatkezeleshez, ott maradhat, mindenhol mashol torolni kell. Erted, ha van egy lakashiteled, es bemesz a bankhoz hogy akkor felejtsetek el mert GDPR, akkor kirohognek. De pl. a KHR-bol mar kivetetheted a lejart bejegyzeseket. Csak a lejartakat!

Nem csak jogos érdek létezik, mint lehetőség, az általad említett hitelnél maga a hitelszerződés a jogalap, a KHR esetében meg tudtommal jogszabály rögzíti, hogy meddig kell megmaradni az adatoknak, tehát ott törvényi kötelezettség a jogalap (az időtartamot nem tudom).

Pl itt ezen a fórumon is emberek megengednek maguknak olyan hangnemet és olyan "vitakultúrát villantanak" ismeretlenül másokkal szemben, ami tippre a világ összes hr és leendő munkaadóját elriasztaná az illető alkalmazásától (ha a konkrét személy beazonosítható lenne).

Óriási +1. A névtelenség leple leveti a gátlásokat.

( gazsiazasz | 2024. 10. 01., k – 18:06 )

trey-t az igazi adatszivárgás nem érdekli, azért nem fizetik. csak ha bele tudná keverni valahogy az épült

Ennek rendkívül egyszerű oka van. Számtalanszor előfordult a múltban, hogy egy-egy tenderhez szakmai önéletrajzot kellett bemutatnia a cégünknek. Sajnos a büfé- és ruhatárszakon végzett diplomás asszisztensek (már nem dolgoznak itt) képtelenek voltak egy olyan egyszerű taszk elvégzésére is, hogy ezeket megfelelően karbantartsák és adott esetben elő tudják venni.

Úgy 10 éve ezt meguntam, egyszer beleírtam, utána, amikor jött a kérdés, hogy tudnék-e adni, már csak a linket kellett elküldenem.

Egyébként pedig nem baj ha van, ha egyszer mégis dobbantani szeretnék, csak egy pipát kellene kivennem. Az se baj, ha a cég ezzel tisztában van.

Közben pedig céges kívánalom is lett. Amikor elkezdtünk egy új marketing ügynökségnek dolgozni, akkor jött az igény, hogy "de jó lenne, ha lenne minden dolgozónak LinkedIn profilja és bejelölné a cég profilját".

Nekem akkor ez csak egy kattintás volt.

trey @ gépház

undo

Nincs rá lehetőség. Manuálisan lenne, de nem gondolod, hogy külön kimentem az eredeti állapotot valahova, majd módosítom, utána megnézem, hogy jött-e válasz, ha jött, visszateszem az eredetit (persze veszekszem, hogy valójában nem lett módosítva, mert vissza lett állítva), és akkor aláteszem a kiegészítést?! :D

Akkor inkább a "pont leszarom, nem vagyok én annyira megfizetve, hogy még ezzel is baszakodjak" álláspontra helyezkedek.

trey @ gépház

Amúgy miről nem hallottál? Erről a cégről? Túl sok fejvadász cégecske van. Hays, IDBC, Bluebird, BAP, Profession, MPS, Prohuman, Randstad, Recruby. Hogy csak pár ismertet említsek. Látszik, hogy nincs sok tapasztalatod az álláspiacon.

Az a baj, hogy a fejvadász piac is tele van kóklerekkel. Semmi minőségi követelmény. Egyetemista diáklánykák diákmunkás foglalkoztatója sokszor.
Gyakorlatilag én is alapíthatnék egy fejvadász céget. Csak van elég önkritikám, hogy nem teszem meg.

Amúgy miről nem hallottál? Erről a cégről?

Igen.

Látszik, hogy nincs sok tapasztalatod az álláspiacon.

Álláskeresőként. Egyébként van, mert ügynökségeken keresztül keresünk embert, ha keresünk. S mint említettem volt, egy HR-essel élek együtt. Szóval sok mindent hallok.

trey @ gépház

Neked akkor szerencséd van. Én minden egyes HR-esnek felajánlom, hogy elküldöm a LinkedIn profilom linkjét, nyugodtan küldjék tovább a partnercégnek "hát az nem jó, PDF-es önéletrajz kellene". 1996 várja vissza a fejvadászait.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igen, csak így ez egy 1-time snapshot, pont attól jobb a linkedin profil URL h. azt tartja karban az ember a 20 helyre elküldözgetett CV PDF-ek helyett. Ha meg fél év múlva visszatérnek az emberre, mindegyik azzal kezdi h. küldjek már át 1 friss CV-t. Ha nem küldöm, mert a linkedin-em up-to-date, azt nézd meg, akkor meg megy a komment az adatbázisba h. ez is mekkora bunkó paraszt.

Ahol meg cégnél felvételi során ezen fennakadnak, ott belépés után is ugyanilyen napi csicskáztatások mennek majd értelmetlen form-ok századszorra is kitöltögetésével (ahol vagyok ott épp ilyen értelmetlen tornáztatásokról szól a munkaidő egy elég szép hányada heti szinten), tehát nem kár érte h. oda nem jutott be az ember.

szakmai önéletrajzot kellett bemutatnia a cégünknek. Sajnos a büfé- és ruhatárszakon végzett diplomás asszisztensek (már nem dolgoznak itt) képtelenek voltak egy olyan egyszerű taszk elvégzésére is

Az asszisztensek írták (volna) másoknak az önéletrajzát? Azt miért nem magának csinálja az ember? Vagy nem értem, mit jelent a "cég(?) szakmai önéletrajza", ill. hogy ehhez hogy jön az ember személyes Linkedin-profilja. (cég != a cég egy dolgozója)

jött az igény, hogy "de jó lenne, ha lenne minden dolgozónak LinkedIn profilja és bejelölné a cég profilját".

Azt adja meg a magasságos, hogy a munkáltatóm (vagy egy partnere) beleugasson abba, hogy kit-mit tetszikelek/követek a Linkedin-profilommal, vagy hogy milyen a háttérképem stb.

networkingre? en se keresek munkat, de ha pl van egy olyan projekt amihez olyan szaktudas is kell ami nekem/nekunk nincs, leg1xubb raneznem a linkedin "ismeroseimre" ki dolgozik ilyen teruleten es megkerdezni oket. vagy ha kell kontakt valami ceghez, ranezek hatha dolgozik ott olyan akit ismerek... persze aki minden heten sorozik az osszes ismerosevel es kepben van ki mit es hol dolgozik eppen annak ez folosleges.

van akinek a linkedin csak egy webes CV szerkeszto, nekem inkabb egy szakmai facebook.

( csardij v | 2024. 10. 01., k – 19:16 )

Kéremszépen, az összes hr-es arc, a linkedin szerint már a Bridge Recruit-nél dolgozik. Switch IT nem volt, nem is létezett.

( YleGreg | 2024. 10. 01., k – 19:45 )

Én most csak nézek bután. Hogy a tökbe kerülhetett fel bármilyen titkos cége adat bármilyen nyilvános felhőbe?

A telex cikke szerint valami teszthez lehetett köze, de ez csípőből baromság, ha kell ilyen teszt csv akkor azt fél óra generálni random nevekkel, telefonszámnak és email címnek kinéző értékekkel és lorem ipsum megjegyzésekkel.

Az egész cégnél egyetlen Vér Pisti intézte a teljes IT -t, és neki támadt ez a remek ötlete, hogy legyen az adatbázis az interneten? Tényleg nem volt ott senki más, aki idejében nyakon vágta volna, hogy ember, mit csinálsz?

Tényleg kíváncsi vagyok rá, hogy mi volt az a folyamat, ami ide vezetett.

A forráskód alapján ezekből a csv-kből töltötte be az adatot a db-be (gondolom korábban csak excelbe kezelték), és ezeket a csv-ket commitolta be a fejlesztő (akiről a redditen írta valaki, hogy dolgozott vele pár hónapot, majd elváltak útjaik, mert nem értett hozzá) ész nélkül.

( Tassadar v | 2024. 10. 01., k – 23:13 )

Szerkesztve: 2024. 10. 01., k – 23:15

Switch IT-ból hirtelen Bridge Recruittá váló társaság számára össze is lett dobva az új honlap:

https://www.bridgerecruit.hu

Hát nálam erre a telexes cikk jön be.

* Host www.bridgerecruit.hu:443 was resolved.
* IPv6: (none)
* IPv4: 89.106.200.1
*   Trying 89.106.200.1:443...
* Connected to www.bridgerecruit.hu (89.106.200.1) port 443
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* ALPN: server accepted http/1.1
* using HTTP/1.x
> GET / HTTP/1.1
> Host: www.bridgerecruit.hu
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
* schannel: server close notification received (close_notify)
< HTTP/1.1 301 Moved Permanently
< Content-Type: text/html; charset=utf-8
< Location: https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…
< Referrer-Policy: no-referrer-when-downgrade
< X-Content-Type-Options: nosniff
< X-Powered-By: redirect.pizza
< X-Server: fra0.prod.edge.redirect.pizza
< Date: Tue, 01 Oct 2024 21:34:41 GMT
< Content-Length: 152
< Connection: close
<
<a href="https://telex.hu/techtud/2024/10/01/kiberbiztonsag-adatvedelem-adatsziv…">Moved Permanently</a>.

* Closing connection
* schannel: shutting down SSL/TLS connection with www.bridgerecruit.hu port 443

( bennyh | 2024. 10. 02., sze – 06:37 )

Na legalább nem csak én nem tudok eleget a git-ről és a github-ról :D

( bazso | 2024. 10. 02., sze – 07:54 )

Máskor meg azért panaszkodtok, mert nem elég transzparens a kiválasztási folyamat...

( Z0l v | 2024. 10. 02., sze – 09:16 )

Valakinek nincs meg lementve? Egyik baratom kerdezi.

Köszi!

Meg is lepődtem volna, kb. a valóságtartalmát vonta volna kétségbe. Lehet, hogy egy pert is megért volna, személyes adatok engedély nélküli beszerzése és tárolása címén.

BTW: aki explicit nem járult hozzá, hogy a személyes adatait tárolják, az ilyen pert jó eséllyel indíthatna. AFAIK, az önéletrajzok tárolásához is hozzájárulás szükséges.

trey @ gépház

Első dolgom volt hogy felhívtam a honlapjukon levő telefonszámot, gondolom volt pár hívásuk tegnap.   
Elöszőr azt mondta hogy a profession-ről emelték át az adataimat (soha nem osztottam ott meg),
majd azt hogy nem tudja megmondani.

Budapesti és teljes HO-t akar. Lusta disznó.

[...]

kevesett ajánlottak neki, meg túl kövér hogy elássa a munkát

[...]

bunkó, email ment. tesztautomatizáló, TypeScript, Java, erős angol

[...]

még be sem mutatkozhattam, bunkó

[...]

nem akar váltani és egyébként egy paraszt

[...]

gyökér faszi visszahívott minket

[...]

nincs 2 év Java és meg is sértődött, hogy miért hívtam fel, ha nem tudok ajánlani pozit… kettyó

[...]

jövő évtől kereshetjük. Milyen területen szeretne fejleszteni? Válasza rá: "Amihez értek." bunkó

[...]

bunkó, email ment. tesztautomatizáló, TypeScript, Java, erős angol

[...]

2021 októbertől érdelkli Java, de ultrajunior, + kettyó is

[...]

Tényleg ilyenek vagytok? :D

trey @ gépház

Főleg, hogy az amfetamint eleinte részben a túlsúly kezelésére is használták felírt gyógyszer formájában. Mivel a hatásai közt van az éhség és szomjúságérzés csökkenése.

Kokainfüggőségnél meg a túlevés az egyik probléma. Illetve a szívbetegségek kialakulása -> vizesedés -> elhízás.

trey @ gépház

Nem hát, hanem a kokainozás okozta hatásokból fakadó életmódjuk és egészségi problémáik miatt.

Megin faszságokat írsz. Élettani hatásai: függőség, az étvágy csökken, a pulzus és vérnyomás emelkedik, a vérerek szűkülnek, a testhőmérséklet emelkedik, a pupillák kitágulnak, az életkedv, tetterő növekszik, a légzésszám növekszik - tipikusan az elhízás ellen hat, pörget. Egyszerűen kokain nélkül is elhíztak volna.

https://iotguru.cloud

Fogalom nélküliséged. Az. Ott a tanulmány, hogy kokain túlzabálást okoz (szalmabábod, hogy megvonása, ami lényegtelen), egyik a másik következménye.

A kokain a szív és érrendszert teszi tönkre, közvetetten vizesedést, mozgásszegény életmódot, ebből kifolyólag elhízást okoz.

Te püföld tovább, szórakoztató! 🫢

trey @ gépház

^ classic trey, faszságot ír, nem olvassa el, mit linkel, aztán próbálja visszalapátolni a lóba a szart... 🤣🤣🤣

Szóval ha vízmegvonás hallucinációt és vizelethányt okoz, mint megvonási tünet, akkor a víz hallucinációt és elapadó vizeletet okoz? Remek logika. :D

https://iotguru.cloud

Jaja, _Franko_ szerint a megvonási tünetek alatt van a túlevés, mikor az ott így szerepel:

Dependencia, tolerancia

  • A tolerancia gyorsan, órák, napok alatt kialakul
    • Megvonási tünetek
    • hangulati nyomottság
    • fáradtság
    • fokozott alvás
    • túlevés

és nem

Dependencia, tolerancia

  • A tolerancia gyorsan, órák, napok alatt kialakul
    • Megvonási tünetek
      • túlevés
    • hangulati nyomottság
    • fáradtság
    • fokozott alvás

:D :D :D :D

De ez is teljesen lényegtelen, mert a logikád teljesen rossz, ugyanis arról volt szó, hogy a kokain okozta az elhízást. Ha nincs kokain, nincs elvonási tünet és - szerinted - ettől túlevés. Elvonási tünet - és szerinted abból fakadó túlevés - mert KIBASZOTTUL KOKAINOZOTT. :D
 

trey @ gépház

Jaja, _Franko_ szerint a megvonási tünetek alatt van a túlevés, mikor az ott így szerepel:

Jajj, ez már tényleg szánalmas, trey, menj el szemészhez, ha nem tudod megkülönböztetni a dőlt betűket az állótól és a nagyobb betűtípust (28pt) a kisebbtől (24pt), a kezdő nagybetűt a kisbetűs kezdéstől. :D

Segítek, így néz ki struktúrában:

  • A tolerancia gyorsan, órák, napok alatt kialakul
    • Megvonási tünetek (kövér, dőlt, 28pt)
      • hangulati nyomottság (kövér, 24pt)
      • fáradtság (kövér, 24pt)
      • fokozott alvás (kövér, 24pt)
      • túlevés (kövér, 24pt)

Akarod még magad égetni ennél is jobban? Remek a műsor, ahogy próbálod elkenni a szart, ami kiesett belőled. :D

https://iotguru.cloud

Ja, miután lementél teljesen kutyába a betűméretekkel, elfelejtettél a leglényegesebb részre reagálni!

De ez is teljesen lényegtelen, mert a logikád teljesen rossz, ugyanis arról volt szó, hogy a kokain okozta az elhízást. Ha nincs kokain, nincs elvonási tünet és - szerinted - ettől túlevés. Elvonási tünet - és szerinted abból fakadó túlevés - mert KIBASZOTTUL KOKAINOZOTT. :D

A KOKAIN -> TÚLEVÉS viszonylat létezik, akárhogy próbálsz kitolatni belőle és akárhány szalmabábot is építesz :D

A műsor tényleg remek, még a szokásos önmagad is sikeresen alulmúlod. :D

trey @ gépház

Ja, miután lementél teljesen kutyába a betűméretekkel, elfelejtettél a leglényegesebb részre reagálni!

Jajj, már, trey, egyre szánalmasabb, szóval akkor sikerült értően elolvasnod, amit linkeltél? Remek. És elvárod, hogy reagáljak a hozzászólásodhoz utólag hozzáírt mondatodra? :D

A KOKAIN -> TÚLEVÉS viszonylat létezik, akárhogy próbálsz kitolatni belőle és akárhány szalmabábot is építesz :D

Akkor a vízivás -> vizelethiány viszonylat is létezik, mert a vízmegvonás egyik tünete a vizelethiány, szóval a vízivás vizelethiányt okoz a logikád szerint. Borkai adott egy kis kólát, vagy mi a fasz van? :D

https://iotguru.cloud

(szalmabábod, hogy megvonása, ami lényegtelen)

 

Ez már túl van minden szinten Trey. Ez olyan mintha azt mondanád, hogy a zsírégetés hízást okoz, mert ha nem csinálod akkor túlzabálással jár. Legalább az elemi logika szintjét tartsd meg mert az ilyen árnyékboxolás csak szánalmas mosolyt fejt ki. 

Milyen konkrétumokat hiányolsz? Fent tépted a szád 10+ hozzászólásban, hogy bizonyítsd hogy hogy a kokain függés elhízással jár. Holott ezt kizárólag az elvonási tünetek egyik velejárójaként listázzák. Semmi bajom, mit gondolsz erről, de az, hogy az A<>B logika sincs meg nálad szerintem ez komoly gond. De persze tudom, hogy megvan a logika, de olyan mélyen ül benned ez a "nem ismerhetem el ha tévedtem" probléma, hogy ezzel csinálsz magadból nevetség tárgyát. Legalábbis szerintem. 

Történet a kóláról: Volt olyan jófej főnököm, aki egész nap Coca-colát ivott. 1 nap = 1 liter. És nem látszott rajta. Plusz cigi, kávé. Simán elműködött ebben az üzemmódban.

Pár alkalommal vittem neki nagytételben 1 literes kiszerelésű kólát. Ledobta a gépszíjat, amikor 24 palackkal vittem neki a Metroból. 😁

Dohányosból is van sok olyan, aki a 100 évet is megélte úgy h. 14 éves kora óta megállás nélkül szívta. Az ilyen (dohányos) emberek többségét mégis elviszi a tüdőrák 50-60 éves kor között. Szóval 1 példa még nem példa :)

2007-8 környékén a kiszervezett kollégák mentek volna szokás szerint a Provident irodaházba reggel kezdeni a munkát, de hazaküldték őket minden magyarázat nélkül. Aznap derült ki, hogy az egyik nemrég kezdett Provident-es újonc pénzbehajtó kölyköt a rendőrség találta meg egy adós kertjében. Elásva és bebetonozva. Napok óta nem hallott róla senki, így jutottak el az utolsó kuncsaftig akitől már nem ment haza.

A kiszervezett kollégáim IT-s cégtől mentek oda IT-s melót csinálni nekik (a kampány rendszerüket csinálták, ezért kellett nekik ember non-stop ott ülni az irodájukban), nem a behajtós vonalon mozogtunk.

Csak össznépileg be volt rendelve aznap minden belsős alkalmazott, a külsősökre meg épp nem tartozott a cég szennyese, így azokat mind hazaküldték.

Azóta nem követtem a provident és tsai áldásos tevékenységét, ez kb egy 15 éves sztori volt. Csak az elássa a munká(s)t szófordulatra ugrott be. Sajnáltam a "gyereket" akit bebetonoztak, emlékeim (a többiek elmesélése) szerint teljesen újonc volt, kb. első munkanapján történhetett.

Sadöl elődjét is lopás miatt cserélték le, ez a mostani is masszívan lopott. Pedig garantáltan kapta a havi sokmilliós állami fizetését csak mert az intézmény feje volt. Mellette a havi soktíz-sokszáz milliós -törvényes!- bevételek az irodájának mind csak a grátisz volt, a minimálbéren tartott irodai rabszolgákkal kiadásaik is alig voltak. Ugye a kinevezésekor az volt a mondás, fizessük meg rendesen a végrehajtó irodák vezetőit, (a főgórét meg főleg!) mert így a korrupcióban nem lesznek -annyira- érdekeltek. Hát "valóban" nem volt egyik se korrupt ahogy az -megintcsak- kiderült.

Offtopic, részben POL:

2015 előtt: Császti? Krejniker?
2015-től rövid ideig: Tóth Dénes? Várady Zoltán? Orell Zsolt?
Semmi másról nem szólt az MBVK sztori, mint a pénz megszerzése a NER-nek és a csókosok elhelyezése jól fizető pozíciókban.
Csak a közvéleménnyel elhitették, hogy milyen jó világ lesz, ha az Igazságügyi Minisztérium szoros felügyelet alá veszi az MBVK-t.

( SkyNET | 2024. 10. 02., sze – 23:47 )

Elvi kérdés : legális egy ilyen listát megnézni? 

Le menteni nem menteném le semmiképpen se.

Megnézni talán szürke zóna.

Ha odáig fajul a dolog, akkor védekezhetsz azzal, hogy érdekelt, hogy érintett voltál-e az adatszivárgásban.

De nem vagyok ügyvéd, szóval saját belátásod szerint...

Szerintem ezt maga a cél dönti el.
Ha azért nézed meg, hogy csemegézz, felhasználd a benne lévő adatokat erre-arra (nem szigorúan definiált célokra), akkor nem. Ez a készletezés gyakorlatilag
Ha azért nézed meg, hogy megnézd magad, mert szeretnéd a saját adataidat védeni és a szükséges lépéseket megtenni, akkor igen.

A jóhiszeműség sokat számít.

Egy régi cikk, pár fogalom magyarázatával: https://www.adatvedelmiszakerto.hu/2011/08/celhoz-kotottseg-elve-az-ada…

ez szep es jo, de honnan tudna a ceg az email cimem? ha jol ertem a fentiekbol akkor hideghivassal probalkoztak, meg linkedint nezegettek...  telszamra (is) kene keresni, bar az se trivi a sokfele formatum miatt.  meg ott mar a hasheles nem sokat er mert kb 3*10^7 szamot vegporgetni nem nagy cucc meg sha256-al se.

Hát nekem pl. linkedin-en ott van, h. ezt a DB-t miből építették az egy jó kérdés. Nem lennék meglepve ha több dolog kombinációja lenne.

1. jelentkeztél valaha valahova ahol ők partnerkedtek (nyilván itt is kérdés mihez járultál hozzá, de lássuk be, attól még elrakhatták a csv-be)
2. hideghívás
3. linkedin
4. profession adatbázis hozzáférés pl
5. nofluffjobs

stbstbstb. Lehet azért ilyet építgetni több dologból is, másik kérdés h. meddig etikus. Alapjáraton azzal nincs bajom h. egy HR-es cégnél megvan a kontakt adatom, most a nyilvánvaló hozzájárultam/nem járultam dolgot lapozzuk el, azért nem az van meg nekik h mikor voltam utoljára a fogászaton. Az kevésbé tetszik h. mindenféle szubjektív megjegyzés napvilágot látott, amit egy érzésre valaki beleírt egy DB-be, mert lehet épp szar napján kapta el xy (kukac) w.hu -t, ez meg most szépen kikerült. Ez adott esetben a mail cím tulajdonosára is rossz fényt vet, meg a HR-es cégre is. 

Az adatszivárgástól függetlenül, ezért nem szabad ilyen módon mások felé fordulni... Most mindenki azon rugózik h. a rohadék HR-es milyen kommentet írt, de fordítva az is gáz h. a kollégák is olyan tirpákok néha amilyenek. Szóval ezt az egészet a jogi problémákon túl én amolyan társadalom lenyomatnak élem meg, ami sajnos kicsit megerősít abban h. azért "sok a fasz", így röviden :)

Ez is egy lehetőség. De lássuk be, ismeretlenek egymás közt 2 perc alatt eljutnak ide az utcán? Azért általában nem, hacsak nem tényleg a társadalom legaljáról beszélgetünk.

Egyfelől igazad van, másfelől ezeknek nem is lenne szabad megfogalmazódnia az ellenoldalban sem. "Paraszt", "Bunkó", stb.

Van komment a nevem mellett egyébként, de nem ezek. Valószínű azért mert ha ő volt a heti 3. HR-es, akkor is tisztelettudóan küldtem el hogy éppen nem keresek. Milyen dolog már számodra vadidegen emberrel parasztként viselkedni meg telibeszarni? Ő is csak egy dolgozó, aki próbálja a munkáját végezni. Hogy ez neked nem tetszik mert te épp nem akarsz váltani, hát az nem hiszem h. rajta kéne csattanjon.

Random gázóra leolvasót se küldöm el az anyjába ha becsenget hanem megkérdem normálisan h. miben segíthetek. Lehet az igazolványát is elkérem udvariasan, de nem hőzöngve és feltételezve róla h. ő az aktuális besurranó tolvaj.

Értem az álláspontodat, de ugyanakkor azért ezt is vegyük számításba szerintem. Kollégák tényleg olyanok tudnak lenni telefonban meg online h. hajj. Aztán személyesen picit erélyesebben rákérdezel h. akkor hogy is volt ez akkor húzza össze magát a delikvens, mert úgy már nincs akkora arc.

( artifex | 2024. 10. 03., cs – 09:54 )

Mindenki aggódik a megjegyzések miatt. Ez egy belső adatállomány, amit egy fasznak köszönhetően mindenki olvas. Ez nem helyes. De szerintem bárhol ugyanilyen megjegyzések mennek másokról, beszállítókról, csak kintről nem látják, hallják őket.* Dolgoztam kitelefonálós cégnél, hasonlóak ott is mentek, ezek jellemzően a többi kolléga tájékoztatására szolgálnak. És ha geci, paraszt és egyéb vagy, jó eséllyel a legközelebbi kampányban nem fognak hívni.

*: "Rohadt északi köcsögök! De utálom ezeket a déli buzikat." Szóval ez most olyan tudd, hogy értsd helyzet.

"Az élet tele van kérdésekkel. Az idióták tele vannak válaszokkal."

"Its easier to fool a man than it is to convince they have been fooled"

Pragmatikus embernek tartom magam, a gyakorlatban nekem az a fontos, hogy ezek a megjegyzesek rolam (marmint nem konkretan ezek, mert nem vagyok benne) kikerulnek-e. Hogy egy call centeres urge mit gondol rolam, es mit ir be az Exceljebe, az kevesbe erdekes. Valoszinuleg olyasmit irna be amugy, hogy nagyon kedves voltam, de egy atlatszo kamuval leraztam. :)

a gyakorlatban nekem az a fontos, hogy ezek a megjegyzesek rolam (marmint nem konkretan ezek, mert nem vagyok benne) kikerulnek-e. Hogy egy call centeres urge mit gondol rolam

Arra emlékszel, amikor pár hónappal ezelőtt leírtam, hogy a HR-sek ezeket megosztják egymás közt? Hogy van külön chat szobájuk, alkalmanként IRL összejönnek és a potenciális jelölteket kibeszélik?

Na, akkor most már nem csak nekem kell elhinni, hanem bizonyíték is van rá.

A probléma ott van, amikor kb. a nagy fejvadász cégek kb. összes fejvadásza és HR-ese ezeket a metadatokat tárolja rólad és használja is. Aztán csak annyit tapasztalsz, hogy valamiért sosem te kaptad az állást.

trey @ gépház

Arra emlékszel, amikor pár hónappal ezelőtt leírtam, hogy...?

Emlekezni nem emlekszem, de ha olvastam, akkor biztosan hittem neked. Pont eleget interjuztattam mar, hogy lassam, hogy terjed valakirol a pletyka.

Aztán csak annyit tapasztalsz, hogy valamiért sosem te kaptad az állást.

A magyar piac amugy is eleg kicsi, nem eri meg fasznak lenni. En kb az ellentete vagyok a "szia, ber?" podcastos IT-archetipusnak a valosagban. Siman forwardoltam mar megkereseseket ami nem volt aktualis, ha tudtam, hogy havert erdekelne. De amikor jon az inmail spam, annak is valaszolok, hogy visszakapja a kreditjet.

Nem az a baj, hogy kibeszélik egymás közt. Mi is beszélgetünk a HR-esekről.

A baj, hogy ennek írásos nyoma marad. Visszakereshető, feldolgozható, elemezhető. Ha pedig ez az adatbázis /adatbázisok egyszer kiszivárognak (előbb-utóbb megtörténik, lásd most), akkor jön a pingvinezés, fejvakarás.
Emberek is változnak. Amatőr hiba valakit 5-10-15 évvel korábbiak alapján megítélni.

Nehogy véletlenül egyszer valaki kitalálja, hogy építsünk adatbázist a HR-esekről. Nem én fogom megtenni. Van elég információm cégekről (50+) és pár HR-esről (40+) is (fehér, szürke, fekete lista). Kicsi a piac.

A kulcsszó: professzionalizmus.
Nem mindegy, hogy leírják ezeket a dolgokat vagy csak szóban elhangzik az irodában, ebéd közbeni beszélgetés közepette. Másrészt 1-1 negatív megjegyzés teljesen alkalmas az ember lejáratására. Igen, van olyan, akit tuti rossz pillanatban hívtak, idegesen és feszült állapotban vette fel a telefont. Erre rátett a hideghívás. Ilyenkor képes az ember elküldeni melegebb éghajlatra egy vadidegent. Nem szerencsés, önismeret és önuralom kell hozzá. Ettől még ne 1 perces telefonbeszélgetés alapján bélyegezzenek meg valakit.

Nem mindegy - teljesen más képet fest a HR-ről:
- valakit minősítenek, megbélyegeznek ("bunkó", "gyökér", "paraszt") VAGY
- szimplán beírjuk megjegyzésként, hogy "ne keressük többet", "együttműködésre nem javasolt"

Szóval csak egy klasszikus alapján: Ezt a Switch IT elbaszta. Nem kicsit, hanem nagyon. És ez kiállítja a bizonyítványt a HR piacról is.

Picit hasonlítanám a Thyssenkruppnál lévő botrányhoz: Nem mindegy, hogy négyszemközt, privát módon beszélgetünk kulturáltan a kolléganőkről vagy pedig beszólogatunk, zaklatunk, abuzálunk.

Szerintem.

Az nem kérdés, hogy elbaszta, írtam hogy ez nem helyes. Tartom magam ahhoz amit írtam, dolgoztam hasonló helyen, más volt a profil amúgy, de ugyanez ment. Lehet a stílus neked nem tetszik, de ez van. Az is belefér, hogy nem a nyolc nyelvem beszélő HR vezető kilenc diplomával telefonált, hanem valami call centerbe kipakolták és a 8 általánossal bíró embereket képezték ki hozzá egy hét alatt, akik előző héten még kutyakaját vagy varázs sebtapaszt adtak el. Ez részemről passz, bár nem lepődnék meg, de lehet valaki más tudja. Még az is lehet akihez odaírták, az _tényleg_ paraszt volt, nem csak úgy dobálták a degradáló szavakat.

Biztos valaki szeret statisztikát gyártani, meg kell nézni százalékosan mennyi ilyen megjegyzés van. Nem lepődnék meg ha nagyon kis százalék jönne ki.

"Az élet tele van kérdésekkel. Az idióták tele vannak válaszokkal."

"Its easier to fool a man than it is to convince they have been fooled"

( csardij v | 2024. 10. 03., cs – 11:20 )

Kiadtak egy nyilatkozatot: https://www.linkedin.com/posts/switch-it-fejvadasz-kft_nyilatkozat-adat…

Nyilatkozat adatszivárgásról

Kedves Partnereink és Érintettek!

A Switch IT Fejvadász és Tanácsadó Kft. 2023 márciusi adatai 2024.10.01-én egy Reddit poszt nyomán nyilvánosságra kerültek.

2022-ben a Switch IT megbízott egy külsős fejlesztőt egy saját vállalatirányítási rendszer programozására. A rendszer elkészültét követően 2023 márciusában, üzembe helyezés alá került. Ekkor a kért adatokat továbbítottuk a fejlesztő részére, melyeket .csv fájlokká exportált és feltöltötte egy külső tárhelyszolgáltatónál lévő szerverre, azonban az adatokat nem csak a Switch IT rendszerébe töltötte fel, hanem a saját nyilvános GitHub tárolójába is. Sajnos arra mi sem kaptunk magyarázatot, hogy miért került feltöltésre az adatbázis a GitHubra és miért volt nyilvános. A Switch IT Kft. vezetőinek és munkatársainak sem volt erről tudomása.

Különösen fontos kiemelnünk, hogy a Switch IT jelenleg is működő rendszeréből nem szivárgott ki semmilyen adat.

Az incidens kapcsán megállapítást nyert, hogy a hibát egyértelműen a fejlesztő követte el, azonban ez nem szándékos cselekedet volt, és nem állt mögötte rosszindulat. A tudomásunkra jutás óta folyamatos együttműködésben dolgozik velünk azon, hogy a keletkezett károkat minimalizáljuk, valamint biztosítsuk, hogy az ismételten feltöltött másolatok megosztásai letiltásra kerüljenek.

2024.10.01-én egy GitHub felhasználó észrevette a bizalmas adatokat, majd írt egy posztot róla a Redditen és megosztotta, amit még sokan mások követtek.

Amint tudomásunkra jutott a szivárgás, haladéktalanul megkezdtük a másolatok letiltását, a Reddit bejegyzés törlésének kérelmezését, valamint kapcsolatba léptünk IT biztonsági szakemberekkel. Jogi tanácsadást kértünk, hogy megfelelően járjunk el és bejelentést tettünk a NAIH felé.
Azóta is a fejlesztő és a Switch IT is folyamatosan figyelemmel kíséri a GitHubot, Redditet és egyéb felületeket, hogy mihamarabb megakadályozza a bizalmas adatok további terjedését.

Az adatbázisban találhatò etikailag is kifogásolhatò belső megjegyzések mélyen sajnálatosak. Az ilyen megjegyzéseket haladéktalanul töröljük és belső vizsgálatot is indítunk. Ezek az esetek nem tükrözik a cég értékrendjét és elkötelezettségét a diszkrét és tiszteletteljes adatkezelés iránt. Elkötelezettek vagyunk, hogy hasonló eset többé ne forduljon elő.

2024.10.01-én este a céges weboldal deaktiválva lett, mivel még aznap két DDoS támadás is érte, melyet a külső szolgáltató jelzett.

Az adatszivárgással kapcsolatos észrevételeit, megjegyzéseit, információit az alábbi email címen fogadjuk: 

Még egyszer elnézést kérünk minden érintettől, és köszönjük a megértésüket és türelmüket.

Mondd, te hiszel még a mesékben? :)

Az elbaltázott feltöltésben nem kételkedek, de szerintem ez túl kis cég ahhoz, hogy a sértő kommentek ne legyenek ismertek mindenki előtt. Aki ilyeneket beír a "rendszerbe", az valószínűleg élő szóban még cifrábbakat is tud mondani. Meg volt az adatok között cégek közötti együttműködés is, ahol más cégek vezetőit parasztozták le, nem veszem be, hogy ez ne vezetői szinten történjen.

De még ha el is hisszük, hogy tényleg nem tudtak róla a vezetők, akkor meg címeres idióták, hogy ennyire nem ismerik a saját dolgaikat.

ROTFL

Néhány fős -> több ezres cégeket adminisztrálunk, tucatszámra. Engedd már el ezt a balfaszkodásod, hogy mindenbe a munkaadót rángatod bele. Ha nem elég neked a mi példánk, akkor ott vannak az ügyfelek.

Szerinted melyik cégnél turkál cégvezető/vezérigazgató a CRM-be?

trey @ gépház

Szerinted melyik cégnél turkál cégvezető/vezérigazgató a CRM-be?

Bármelyiknél, ahol a cégvezető / vezérigazgató ezt kéri. Cég és cégkultúra függő.

Amúgy meg olvasd el ezt még egyszer: https://hup.hu/comment/3121279#comment-3121279 Szóval egyáltalán nem kell a CRM-ben turkálnia egy KIS CÉGNÉL.

Nekem teljesen hihető, hogy a sértő megjegyzéseket nem látta a cégvezetés, mert a vezetőségnek biztos nem az a dolga, hogy az alkalmatlannak minősített munkavállalók profilját nézegesse.
Ha nézegeti is a profilokat, akkor a 3 legalkalmasabbnak kihozott emberből kell kiválasztania, hogy kinek a CV-jével megy tovább a megbízóhoz. Akire meg azt írták, hogy "Lusta és kövér" vagy "Bunkó paraszt", az valószínűleg nem volt benne a top 3-ban.

Nagy Péter

sem a sértő kommentek meglétéről nem tudtak

Ez az, amit nem hiszek el. Nem egy 300 fős HR fejvadász cégről beszélünk, hanem egy ~10 fős cégről. Tuti, hogy ebéd közben, csapatépítőn, kávészünetben terjedt a pletyka, hogy ki milyen jelöltekkel találkozott.

Tanulság #2: ne legyél fasz, akkor nem lesz a neved mellett, hogy fasz vagy

(ja, és ha fasz vagy és erről nyilvántartásban szereplő rekordod is van, akkor ne kérj számon senkit, hogy esetleg szerinted ő fasz, mert semmi alapod nincs arra :D)

trey @ gépház

Ez érdekes kérdés. Szubjektív dolog, hogy ki kit miért tart fasznak. Téged pl. az itteni megnyilvánulásaid miatt annak tartalak (lehet, hogy te is engem), a kollégáid nem biztos (bár erről nem sokat tudok), és a legtöbb kollégám engem sem tartott fasznak (bár biztos volt, aki igen, és az feltehetőleg kölcsönös volt).

A cégvezetés biztos tudott róla, a cégvezetés egy fasz -> semmilyen ártatlanság vélelme a részetekről

Nem kell tudnia róla, csak a felelősség terheli. Ugye. 

 

Ti (akik szerepelnek bunkó stb. megjegyzéssel) -> ártatlanság vélelme

Pontosan milyen alapon kellene elfogadni annak a megjegyzésnek a jogosságát, ami megjegyzésre került. Milyen körülmény is ami munkajogi szempontból fontos, és a "fejvadász" személyes véleménye lényeges? Munkaadóként ezeket a megjegyzéseket nézve soha nem kötnék szerződést ezzel a fejvadász céggel. 

 

Hogyne lenne mar lenyeges a fejvadasz velemenye. Pont ezert alkalmazzak/bizzak meg oket.

Egy recruitment nem kizarolag szakmai kompetenciak felmeresebol all. Nyelvtudast es egyeb soft-skilleket is ertekelniuk kell, hogy aszerint lehessen a vegso dontest meghozni. Ha valaki bunko a telefonban, akkor az is egy tulajdonsag, ami informacioval bir (siman lehet hogy a munkahelyen is bunko lesz a kollegaival).

Annak idejen en meg voltam assessment centeren, az mindenrol szolt csak nem a szakmaisagrol. Arra volt kulon interju kor a line managerrel.

hát nemtom, sok embert felidegesítenek ezek a hideghívások, siman lehet, hogy amúgy tök normális, csak az ilyenek felhuzzák, főleg ha már mondjuk aznap ötödszörre hívják.

nomeg, ezekre vannak jobb kifejezések is, le lehet írni, hogy bunkó kevésbé bunkó módon is.

Nyilvan nem ugy terveztek, hogy publikusba megy. Ez kb. olyan elvaras, mint hogy egy privat repoban minden komment tokeletes angolsaggal, typomentesen legyen leirva. Ha vki tenyleg bunko volt, akkor az bunko volt, miert kellene egy internal toolban "sugarcoating"-olni?

A gond inkabb az "öreg" es tarsaival van, mert az jogot sert.

Van itt kis probléma:

amikor jön a telefon "az XYZ cég közvéleménykutatója vagyok" (de hogy jobban illeszkedjen a szálba: "az XYZ cégtől vagyok, volna egy állásajánlatom számára") akkor én általában az első vesszőnél *belevágok* a szavába, közlöm, hogy "köszönöm, nem érdekel, viszonthallásra" és itt már le is tettem a telefont. Én ezt nem tartom bunkónak, de el tudom fogadni, hogy aki az ilyen telefonokból él (márpedig egy fejvadász keményen ilyen), azok számára ez negatív hozzáállás => be leszek dobozolva a bunkó fiókba.

Hm?

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Aztán ha ilyen-olyan módon közkézen forog ez a lista is (ne legyenek illúzióink, ha másnem 1-1 fejvadász belekukkant tel.számokat + neveket betárazni, feltételezzük h. így van), a te neved meg van elég egyedi egy Kovács Józsihoz képest, akkor a "bunkó" megjegyzés alapján nehéz lesz tiszta lappal indítani. Az előítéleteket nagyon nehéz levetkőzni, legyél akármilyen fasza pro fejvadász. Tisztelet a nagyon kevés kivételnek.

Szerintem: Ha megvarod a mondat veget, majd utana mondod a fenti szoveget, majd megvarod, hogy "Rendben", csak aztan nyomod ki, az +3 mp es akkor biztos nem leszel bunko. Ez azert nem extra nagy effort a reszunkrol, ilyen hivasok nem mindennaposak, leven az IT piacon nem jellemzo a cold call, hiszen ott a LinkedIn.

Masreszt szerintem a cold callos ugyintezoknel magasabban lehet a bunkosag kuszobe. Egy ilyen gyors leteves esetre nem gondolnam hogy lebunkozna, szerintem ott sokkal cifrabbak tortentek...

> Szerintem: Ha megvarod a mondat veget, majd utana mondod a fenti szoveget, majd megvarod, hogy "Rendben", csak aztan nyomod ki,

> az +3 mp es akkor biztos nem leszel bunko. Ez azert nem extra nagy effort a reszunkrol, ilyen hivasok nem mindennaposak, leven az IT

> piacon nem jellemzo a cold call, hiszen ott a LinkedIn.

 

BTW, nincs mindenki LinkedIn-en még ebben a szakmában sem.

A kezdet kezdetén, amikor elkezdtek  az ilyen jellegű hívások zavarni, megpróbáltam megvárni a mondat végét, a lélegzetvételt, bármit - ahol nem tűnik udvariatlanságnak. Aztán meguntam a Jókai-féle körmondatokat, az egy levegővel 10 percet beszélőket, ráadásul bennem az is felmerül (mert hallottam már ilyenről), hogy mi a francnak pazaroljunk egymás életéből (én az övéből!!!) hosszú perceket, ha már az 5. másodpercben tudható, hogy nem lesz ebből se barátság, se munkakapcsolat.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Semmi többes mérce nincs itt, megint terelsz és elfelejted a saját, védhetetlen mondókádat.

ja, és ha fasz vagy és erről nyilvántartásban szereplő rekordod is van,

Itt senkiről nem tudjuk, hogy fasz, azt tudjuk, hogy egy csoport minősítget embereket. Tehát van egy másról készült bejegyzés (tény), ami alkalmas lehet rágalmazásra/becsületsértésre, főleg, hogy a bejegyzés jogosságára nincs bizonyíték. Erre te elkezdesz a vezetőségről terelni. Ezen a szinten részletkérdés, hogy ki felelős, de a csoportból valaki(k) felelős(ek) a rágalamzó bejegyzések létrehozataláért. Az, hogy a mellékelt ábra (=te) szerint ezt mindenféle, kritikus gondolkodásra képtelen emberek beszopják, csak azt bizonyítja hogy alkalmas rágalmazásra. Itt jön be a rágalmazás. A terelés meg fölösleges, de megszoktuk. :)

Ez mondjuk szerintem GDPR oldalról kötelező is. 

Mármint az adatkezelésnél az adatkezelés célját is fel kell tüntetni az adatkezelőnek. 
Ha ott, az adatkezelési tájékoztatóban nincs benne, hogy az adataidat a nyilvántartó rendszer fejlesztésekor annak teszteléséhez is használják, és nem így adod meg nekik az engedélyt az adataid kezelésére, akkor erre a célra nem használhatják azt. Bár itt úgy sejtem, hogy sok embertől semmilyen engedély nem volt az adatkezelésre, mert legalábbis aki azt kérte, hogy "töröljék", az biztos nem járult hozzá.

Nagy Péter

2022-ben a Switch IT megbízott egy külsős fejlesztőt egy saját vállalatirányítási rendszer programozására.

Itt cseszték el.
Ugye ez a külső fejlesztő SOHA többet nem kap IT munkát a piacon? (bilibe lóg a kezem)

azonban az adatokat nem csak a Switch IT rendszerébe töltötte fel, hanem a saját nyilvános GitHub tárolójába is.

Nyilván a NAIH fel fogja tenni a következő kritikus kérdéseket:
1. MIÉRT???!!!!
2. Mikor történt ez az extra feltöltés?
3. Mikor derült ki a Switch IT számára, hogy a Githubra is felkerültek az adatok? Tippre: 2024.10.01.

Ugye ez a külső fejlesztő SOHA többet nem kap IT munkát a piacon? (bilibe lóg a kezem)

Hol van ilyenkor az "ahol gyalulnak hullik a forgács", "csak az nem hibázik, aki nem dolgozik" stb.?

Meg hogy "a börtönviselt is megérdemel egy második esélyt" okosságok?

Magyarul, hol az EMPÁTIA, aminek a hiányáról évek óta papoltok nekem?

trey @ gépház

Empátia köszöni szépen, megvan. Viszont az a fejlesztő, aki netre publikusan elérhetően (még egy vacak basic auth sincs ott) kitesz személyes adatokat, adatbázist, az nálam leírta magát. Örökre. Az ilyen fejlesztő nem szakember a szememben.

Továbbá ahogy néztem az eredeti Github repot kb. 2 éve kerülhetett fel Githubra a cucc. Annyi idő nem volt elég a fejlesztőnek, hogy letörölje? Miért hagyta így fent? 2 évről beszélek, nem 2 napról vagy hétről.

Esetleg ennyire olcsó fejlesztő kellett a cégnek, nem volt pénzük megfizetni egy szakembert? Szarrágás magas fokon a cégtől?

ROTFL

- Szerinted ez a fejlesztő jó szakember?

Ennyiből nem derül ki.

- Te mennyire bíznád meg ezt a fejlesztőt bármilyen IT munkával?

Nem foglalkozom fejlesztők megbízásával.

- Szerinted egy ilyen fejlesztőnek van helye az IT iparban, ahol személyes adatokat is kell kezelni?

Igen! Ha szerinted nincs, akkor sivár a lelked és az EMPÁTIA hiányzik belőled!!!!!1111 Rósz ember vagy!!!

trey @ gépház

Huuh, micsoda kettős mércéd van! Zseniális. Ja, nem....

Sose dolgoztál együtt fejlesztőkkel se? Ne kamuzz, mert ki fog lógni a lóláb.

Vannak bizonyos hibák, amik megengedhetőek, természetesek. És vannak a teljesen vállalhatatlanok. Nálam ez az adatszivárgás az utóbbi. Tudom, túl magasra teszem a mércét.

Huuh, micsoda kettős mércéd van! Zseniális. Ja, nem....

Mint a tiéd.

Sose dolgoztál együtt fejlesztőkkel se? Ne kamuzz, mert ki fog lógni a lóláb.

Az előbb még az volt, hogy munkát adnék-e nekik. Sose adtam munkát fejlesztőnek. Ne csúsztass.

Vannak bizonyos hibák, amik megengedhetőek, természetesek. És vannak a teljesen vállalhatatlanok. Nálam ez az adatszivárgás az utóbbi. Tudom, túl magasra teszem a mércét.

Ühüm, akkor rossz hírem van. Tippem szerint a fejlesztők nagy része szivárogtatott/szivárogtat/fog szivárogtatni adatot.

trey @ gépház

Ühüm, akkor rossz hírem van. Tippem szerint a fejlesztők nagy része szivárogtatott/szivárogtat/fog szivárogtatni adatot.

Amelyik fejlesztő ilyet csinál, az nálam egyből elvágta magát / halálfejes hiba (by BME VIK).

Kb. az a szint, mint amikor egy üzemeltető nem változtatja meg az adott eszköz alapértelmezett jelszavait (tudom, sok eszköznél már ezt nem alkalmazzák, mert biztonsági kockázat).

Ugye ez a külső fejlesztő SOHA többet nem kap IT munkát a piacon?

Auditaltak a kulso fejlesztot, hogy alkalmas-e szemelyes adatok kezelesere, vagy valasztottak egy mokust az expressz hirdetesi rovatbol?

Persze, hogy alulkepzett dolgozoi vannak a cegnek, meg nem jelenti azt, hogy a megbizott partner is esszeruen jar el: https://thehackernews.com/2017/07/sweden-data-breach.html

( denton | 2024. 10. 03., cs – 12:16 )

Nyomorékok....

Őszintén szólva, azt nézem, hogy mennyit változott a világ kb 15-20 év alatt.

Nemrég igényeltünk egy hitelt bankból. Le is lett zárva, minden oké.

Erre tegnap a senior hitelügyintéző elküldte egy totál másik ügyfél szerződését. A levélben az eredeti ügyfelek voltak megszólítva, csak az email címeket cserélték fel a címzettek között.

A szerződés jelszavazva volt, de születési dátummal és meg anyja nevéből egy töredékkel. Mai facebook adatok alapján a nagy része jó eséllyel kitölthető és könnyen törhető.

Meg is írtuk nekik ,h oké, ezt mi most akkor töröljük. Gyanítom, hogy semmi nem lett belőle, régen ilyen hibákat nem hiszem ,hogy elkövettek, vagy ha igen, abból harakiri lehetett.

Mázlijuk volt, hogy mind2 email címet elcserélték, így az igazi ügyfelek nem láttak belőle semmit, így el lehet sunnyogni.

Nem vagyok köcsög :)

Az adatszivárgás technikailag nem történt meg mert a levelet és a csatolmányt mi töröltük, tehát nem jutott el illetéktelenekhez végül is az adat. A vezető alapból benne volt a levelezésben ,így értesült róla, ha kell fejmoshatja a beosztottat. Most direkt még jobban kibaszni velük nem láttam értelmét. Remélhetőleg ebből is tanult.

( pityulaman1983 v | 2024. 10. 03., cs – 15:29 )

Én örültem volna, ha benne vagyok a listában. Végre látnék őszinte visszajelzést :D

( nagy_peter v | 2024. 10. 03., cs – 23:24 )

Fent van még valahol? 
Ránéznék, hogy benne vagyok-e, de a legtöbb helyről már lekerült.

Nagy Péter

Az alábbira keress rá mondjuk: switch-erp/blob/master/database/seeds/data/applicants/01_adatbazis_fejlesztok.csv

Majd a web.archive-val megnyitva a linket kész is.

Már a 90-es években is tudhattuk: Ami az internetre egyszer felkerült, azt a jó ég se vakarja le onnan. Talán mostanra ez tudatosul mindenkiben.

Én nem kívánom hogy megváltoztasd a véleményed, de ameddig nem idézel/teszel elérhetővé valamit saját eszközzel addig nincs semmi gond. Azaz a link nem minősül adatmegosztásnak, mivel azon az tudja csak megnézni, aki egyéb más módon is megtalálhatta volna a célcímet. 

Ha emlékezetem nem csal kérhetsz le domain-re listát, hogy melyik címek érintettek az adott domain-en. Vagyis valahogy vissza kell tudnia állítani azt, hogy a "domain.hu" lekérdezésnél a "gipsz.jakab@domain.hu" melyik szivárgott listáról érintett és milyen adatokkal. Ezt a végén megkapod egy letölthető file-ban (pl XLS). Ezt a listát, ha hash-ből állítja vissza úgy, hogy én nem kérdezek rá a gipsz.jakab@domain.hu címre (meg a másik 50-re, ami még ezzel a domain-nel kapcsolatos), az már nem hash :)

Szívesen odaadom az összes hash-t, bogarásszad. Ha nekem nem kell x adat pontosan és én azt hashelem / törlöm akkor inkább a törvény szellemében járok el mint hogy akármilyen indok miatt megtartsam. Ezt szerintem bármilyen DPO / jogász megerősíti neked.

Gábriel Ákos

Nem mondta senki, hogy a hash megoldás rossz az ellenőrzésre és jogilag is megfelelő, szerintem ebben senki nem kételkedett, én sem. Onnan indultunk, hogy a haveibeenpwned tárolja-e az eredeti adatot, vagy csak hasht. Ha a "hash"-elt adatból tud neked bármilyen domain kérésre előállítani email címlistát, az már nem a pontos adat ellenőrzése. Tud előállítani ilyet, emiatt jó eséllyel nem hash listája van, hanem az eredeti adatot is tárolja (nem tudom, csak feltételezem, lehet "hash"-ből elő tudja állítani az eredeti email címet ellenőrző input nélkül, de az mint írtam, már nem hash:). Ne láss bele te sem ennél többet.

Hát, ezt le lehet egyszerűsíteni:

Ha tud olyan adatot visszaadni, amit nem írtunk be ellenőrzéskor, akkor tárolja az eredeti adatot valamilyen formában.
Tehát ha te csak az e-mail cím domainjét írtad be, és ebből megmondja a teljes e-mail címet, ami érintett a domainen belül, akkor nem csak hasht tárolt. Ha azt mondja, hogy hash, de elő tudja állítani belőle az eredeti adatot, akkor az nem hash, hanem maximum titkosított adat.
Ha csak annyit mond, hogy ez a domain 3 különböző e-mail címmel is szerepel a listában, de azt nem tudja kiírni, hogy mi az a 3 cím, csak az általad beírt e-mail címre ad vissza igen/nem választ, akkor jó eséllyel csak hasht tárol.

Nagy Péter

The domain search dashboard allows you to verify control of a domain then run searches against it. Once verified, you'll receive a notification email if any email addresses on the domain appear in a subsequent data breach. You can also choose to purchase an HIBP subscription in order to search larger domains or query any domain via API.

Szóval úgy néz ki, a domain is csak arról szól, hogy a domain megadás utáni eseményekről kapsz értesítést. Ez alapján gyanítom, hogy tényleg csak hash-t tárolnak.

( n.balazs v | 2024. 10. 06., v – 19:16 )

Szerkesztve: 2024. 10. 06., v – 19:19

Update:

Az adatkezelőnek kötelezettsége tájékoztatni az adatszivárgásban érintetteket haladéktalanul. Eltelt 5 nap és a Switch IT még mindig semmilyen értesítést nem küldött nekem.

Ellenben az alábbi levelet kaptam Have I Been Pwned -tól 2024.10.05. 22:39-kor:

Feladó: Have I Been Pwned <noreply@haveibeenpwned.com>
Tárgy: An email on <<domain név>> has been pwned in the Switch data breach

An email on a domain you're monitoring has been pwned

You signed up for notifications when emails on <<domain név>> were pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Breach:

Switch

Date of breach:

1 Oct 2024

Accounts found:

5,397

Your accounts:

1

Compromised data:

Email addresses, Job applications, Names, Social media profiles

Description:

In October 2024, the Hungarian IT headhunting service Switch inadvertently exposed thousands of customer records via a public GitHub repository. The exposed data contained job applications with names, email addresses and in some cases, commentary on the applicant.

You can see which of the accounts you're monitoring were compromised and manage your domains via the domain search dashboard. You can also unsubscribe domains from future notifications via the dashboard.

( n.balazs v | 2024. 10. 07., h – 21:52 )

A NAIH eljárást indított. Remélem, hogy alaposan a cég és a cég vezetőinek orrára koppintanak.

Telex: Eljárást indított az adatvédelmi hatóság a fejvadászcég ellen, ahonnan több ezer ember adatai szivárogtak ki

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalból hatósági eljárást indított a Switch IT Kft. nevű fejvadászcégnél történt adatvédelmi incidens ügyében – derül ki a hatóság Telexnek küldött válaszából.

....

Megkeresésünkre a NAIH azt is elárulta, hogy az ügyben számos bejelentés érkezett hozzájuk, maga a Switch IT Kft. az incidens másnapján, múlt szerdán értesítette őket, a hatósági eljárást pedig csütörtökön indították meg.

( prion | 2024. 10. 10., cs – 17:51 )

off: jött most egy figyelmesztetés nálunk olyanra, hogy fake álláskeresési folyamatot csinálnak IT-sokkal és az interjú folyamat része, hogy meg kell oldani valami feladatot és ehhez adnak letöltendő telepítendő dolgot, ami meg malwaret tartalmaz :D

Lehet félreérthető volt, de lehet poénként írtad, de az egész hirdetés fake és minden, nincs állás csak az a cél, hogy bemenni vagy a saját, vagy a céges gépére, ha esetleg oda telepít. És szokásos dolgok vannak, hogy körítés igazinak tűnik, van valami jól hangzó csali, meg gyorsan kell reagálni, mert hamarra van időzítve a második interjú, meg eleve úgy lépnek fel, hogy ők a nagyon professzionálisak és ők tudják, hogy mi van, hogy ne akarjon "butaságot" visszakérdezni az illető.

Bazze, ez mekkora ötlet! Banki csalás helyett, így ellopni a belépési adatokat. Csak az Anydesket kell rejtetten integrálni, és ennyi. Ráadásul az átlag informatikusnak sokkal több pénze van, mint egy kisnyugdíjasnak!

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( khiraly | 2024. 10. 12., szo – 13:43 )

Noh errol a dramarol total lemaradtam, de ami erdekes, hogy a google is mar csak a hup.hu-t linkeli.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Az, hogy a Google mit linkel, teljesen irreleváns. Egyrészt erősen profiloz a keresőjük, durván romlik a keresési találatok minősége.

A "fejvadász adatszivárgás" kulcsszavakra rákeresve nekem linkelt Telexet, HVG-t, 24.hu-t, HUP-ot, Redditet, Hirstart.hu-t.
Igaz, hogy hirado.hu-t és origo.hu-t nem tartalmazott a lista. Ezen a 2 oldalon rákerestem az "adatszivárgás" kifejezésre, de így se adott fel semmit ezzel kapcsolatban. Gondolom, ez náluk nem olyan fontos hír, amire az olvasóik kíváncsiak....

Igy probaltam:

bing.com

google.com

yandex.ru

duckduckgo.com

web.archive.org (nem jon be mostmar vagy egy hete, de gondolom ez nem ujdonsag senkinek)

gitlab.com

es github.com, konkretan evvel a keresesi sztringgel:

path:switch-erp/blob/master/database/seeds/data/applicants/ path:**/01_adatbazis_fejlesztok.csv

 

Ami github repot talaltam (pitju-akoom, finszterr), az disabled lett.

Tok mindegy melyik oldalon. Erre mondtam, hogy bizony az esemeny utan 2 hettel, mar nehez megtalalni a neten barmit.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....