Tusindvis af følsomme lejesoldater-cv'er afsløret efter sikkerhedens bortfald

CV'er for hundredvis af personer, der ansøgte om arbejde hos et amerikansk-baseret privat sikkerhedsfirma, er blevet afsløret efter et sikkerhedsbrud fra et tredjeparts rekrutteringsfirma.

Omkring 9.400 CV'er blev opdaget på en offentlig, unoteret Amazon Web Services-lagerserver af Chris Vickery, direktør for cyberrisikoforskning hos sikkerhedsfirmaet UpGuard.

Serveren tilhører rekrutteringsfirmaet TalentPen, som indtil februar var kontraheret af lejesoldatfirmaet TigerSwan om at levere tjenester til frivillig indsendelse af CV.

CV'erne afslører de personlige oplysninger om potentielle medarbejdere, der havde søgt om at arbejde for TigerSwan så langt tilbage som i 2008, da det private sikkerhedsfirma blev grundlagt. Mange af dem, der sluttede sig til virksomhedens rækker, fortsatte med at levere sikkerhedsarbejde i kølvandet på Irak-krigen, ved OL i Sochi og mere kontroversielt,

de angiveligt uden licens North Dakota rørledningsprotester.

De afslørede dokumenter viser en række personlige oplysninger, herunder en ansøgers hjemmeadresse, telefonnumre, e-mailadresser, kørekort- og pasnumre og cpr-numre.

Hundredvis af CV'er hævdede at have "tophemmelige" tilladelser og adgang til højt klassificerede følsomme opdelte oplysninger. I mange tilfælde afslører CV'erne detaljer om en ansøgers tidligere opgaver, herunder følsomme forsvars- og efterretningsroller.

Mens størstedelen af ​​ansøgerne er amerikanske veteraner, tilhører flere af CV'erne angiveligt irakiske og afghanske statsborgere, som samarbejdede og arbejdede med amerikanske styrker og regeringsorganer i deres hjemlande - som nu kan være truet af afsløringen af ​​deres fortid arbejde.

I et blogindlæg offentliggjort af UpGuard, blandt CV'erne var "kontaktoplysningerne for en tidligere amerikansk ambassadør til Indonesien og en tidligere direktør for CIA's hemmelige tjeneste, hver opført i et CV's referencer afsnit."

Vickery fortalte ZDNet i et telefonopkald fredag ​​forud for offentliggørelsen, at denne form for data ville være "meget eftertragtet" af udenlandske efterretningstjenester.

"Hvis du har en entreprenør, der arbejder for NSA, og du har deres CV og kender deres personlige Yahoo-e-mailadresse, er de et mål af høj værdi, som du kan målrette angreb mod," sagde han. "De efterretningskampagner, der kan bruges til denne skare af data, er ekstreme."

Vickery tilføjede, at det tog UpGuard mere end en måned fra opdagelsesstedet at sikre serveren – delvist fordi serveren ikke tilhørte TigerSwan.

Amazon greb til sidst ind og lukkede den TalentPen-ejede server den 24. august.

I en erklæring offentliggjort lørdag, bekræftede TigerSwan tidslinjen og tilbød flere detaljer.

Ifølge erklæringen oprettede TalentPen et sikkert websted for at overføre CV-filerne til en TigerSwan-server efter opsigelsen af ​​rekrutteringsfirmaets kontrakt. TigerSwan sagde, at det "erfarede, at vores tidligere rekrutteringsleverandør TalentPen brugte et bucket-websted på Amazon Web Tjenester til overførsel af CV'er til vores sikre server, men har aldrig slettet dem efter vores login-legitimationsoplysninger udløbet."

"Da vi ikke kontrollerede eller havde adgang til dette websted, var vi ikke klar over, at disse dokumenter stadig var på nettet, og endnu mindre, var offentligt vendt," lød erklæringen.

"Vi tager TalentPens manglende evne til at sikre sikkerheden af ​​disse oplysninger alvorligt og beklager evt besvær eller eksponering, som vores tidligere rekrutteringsleverandør kan have forårsaget disse ansøgere," sagde TigerSvanen.

James Reese, administrerende direktør for TigerSwan, sagde, at virksomheden har "iværksat skridt" for at underrette de personer, der er berørt af bruddet.

Susan Govea, der ejer TalentPen, svarede ikke på en anmodning om kommentar lørdag.