Ma osztottak meg velem egy bejegyzést Redditen, amiben valaki megtalálta egy fejvadász cég ERP (vállalatirányítási) rendszerének forráskódját GitHub-on. Ezzel önmagában nem is feltétlenül lenne gond, egy Laravel keretrendszert használó PHP-kódról beszélünk, azonban a tesztelésre használt adatokban valódi jelöltek személyes adatai szerepelnek. Név, elérhetőség és ami még aggasztóbb: a fejvadászok botrányos hozzászólásai. Hogyan ne dolgozz 2024-ben.
Switch IT – válts velünk
A Switch egy magyar toborzó cég, akik sikerdíjas konstrukcióban dolgoznak. Sok hasonló van a piacon, ami talán érdekessé teszi őket, az az adtavédelmi, etikai irányelveik:
Azt hiszem erre mondjuk, hogy nem öregedett jól. Persze itt be lehet dobni a busz alá azt a fejlesztőt, aki szándékosan vagy véletlenül GitHubra kinyomta az egész rendszert, de a nap végén mégiscsak a cég felel azért, hogy milyen módon dolgoznak az alkalmazottak, és mennyire van lehetőségük ekkora hibát okozni.
Miért ciki, ami nyilvánosságra került
Adatvédelmi incidens bármelyik cégnél előfordulhat, nem is ebből gondolnám, hogy példát kellene statuálni. Az is sokat számít, hogy a cég hogyan kezeli ezt, és mit csinál azért, hogy a jövőben elkerülje.
Ha viszont a szivárgás során ilyen és ehhez hasonló információk is napvilágot látnak, az vérciki, és azzal foglalkoznunk kell:
- felkerül a teljes forráskód, ami valószínűleg önmagában sem vidám,
- ebből kiderül, hogy az éles adatbázis adatait használják tesztelésre,
- ezen adatokon semmilyen deperszonalizáció nem történik,
- jelöltek neve, telefonszáma, e-mail-címe kerül nyilvánosságra a beleegyezésük nélkül,
- sőt, sokszor a kifejezett kérésük ellenére,
- és akkor ott vannak a csodálatos kommentek, amiket az ott dolgozók hagytak a jelöltekhez.
Kiemeltem néhányat a kommentek közül, a személyes adatokat természetesen elrejtve. A parasztra egyébként jóval több találat is van, de egyéb cifraságokat sem megerőltető találni.
Például ez a kódrészlet is izgalmas, a *** résszel én egészítettem ki, törölve az eredeti adatokat, amik egyszerű szövegként vannak tárolva:
DB::table('users')->insert([
'name' => 'Administrator',
'email' => '***@switchit.hu',
'password' => bcrypt('***'),
'created_at' => date("Y-m-d H:i:s")
]);Hogyan ne dolgozz?
Van ez a jelenség, hogy szinte minden fejlesztő vagy IT-ban dolgozó szakember szinte vehemens indulattal gyűlöl minden HR-est, de leginkább fejvadászt. Sokan azt gondolják, hogy ezek az emberek semmihez nem értenek, és semmi keresnivalójuk a szakmában.
Ez persze önmagában így sarkos, dolgoztam már rengeteg jó HR-essel és fejvadásszal, és azt gondolom, hogy pontosan az ilyen, valóban kókler emberek miatt borzalmas a megítélésük.
Gyakran keveredek szakmai vitába, írtam már erről itt is, amikor azt mondom, bármilyen cégkultúra lehet jó, ha az őszinte. Ez most egy újabb példája ennek: ha a weboldaladra nagy betűkkel kiírod, hogy mennyire fontos az etika, mennyire bizalmasan kezelsz minden adatot, de közben kiderül, hogy az éles adatokkal tesztelsz, ezeket az adatokat különösebb gond nélkül ki tudta valaki tolni GitHubra, és ráadásul a fejvadászaid olyan ocsortányos kommenteket írnak emberekre, hogy még a sokat látott veteránok szemöldöke is felszalad, akkor valószínűleg valamit rosszul csinálsz. Ez alapján nem dolgoznék ennél a cégnél.
NE HÍVJUK! Kérte, hogy töröljük a telszámát. Amúgy pedig egy címeres önérzetes paraszt
Én is foglalkozom kereséssel, dolgozom hiring managerként, túl vagyok már párszáz interjún az asztal másik oldalán ülve, átment a kezeim között több ezer CV, mégis azt gondolom, hogy soha nem írtam olyat egy jelöltről, ami ha holnap napvilágot látna, aggódnom kellene.
Ezt minden kiválasztási folyamat során el is mondom a csapatomnak: csak olyat írj le, ami ha holnap kimegy Twitterre/Redditre, akkor is nyugodtan fogsz aludni. Más kérdés persze, hogy kinek hol van a küszöb, amikor már nem alszik nyugodtan.
Oké, de hogyan dolgozz?
Sosem gondoltam, hogy ilyen alapvetéseket le kell írni, de mégis úgy tűnik, ez a helyzet.
- Ha személyes adatokkal dolgozol, bizalmi pozícióban, akkor vedd komolyan a személyes adatok védelmét, különben a NAIH fogja komolyan venni, ez pedig sem neked, sem a bizniszed megítélésének nem lesz jó.
- Ne tesztelj éles adatokkal, de ha mégis, legalább deperszonalizáld a személyes adatokat.
- Ne tárolj jelszót, elérhetőséget a Git repódban, van már erre egy tucat kiforrott módszer.
- Csak olyat írj le, amit bármikor nyugodtan felvállalsz nyilvánosan is. Az a véleményed, hogy paraszt volt a jelölt? Ha nem vagy írástudatlan, ezt le tudod írni olyan módon, hogy nyilvánosan se okozzon gondot.
- Reagálj minél előbb nyilvánosan. A bocsánatkérés alap, de próbálj minél jobban segíteni azokon, akinek az adatai miattad keringenek az interneten. Ha tele van az internet az esettel, de te csöndben vagy, az mindig problémás.
- Győződj meg róla, hogy ez a jövőben nem fog előfordulni. Szintén nyilvánosan mondd el az ügyfeleidnek és leendő ügyfeleidnek, hogy mit teszel meg ezért.
Miért írtam erről?
Egyrészt azért, mert egy tucatnyi ismerősöm érintett, az ő adataik is nyilvánosságra kerültek.
Másrészt azért, mert vannak fejvadász barátaim, akikről tudom, hogy ez sosem fordult volna velük elő, és szerintem fontos, hogy a kóklereket megkülönböztessük a profiktól. (Igen, aki leírja egy rendszerbe, hogy a jelölt paraszt egy fejvadász cégnél, az kókler.)
Harmadrészt pedig azért, mert őszintén meglep, hogy ezekre az infókra semmit nem reagáltak a cégtől. Egy ilyen esemény után pedig valakinek felelősséget kell vállalnia. Írtam nekik egy levelet néhány órája, ha válaszolnak, frissítem a bejegyzést.
És negyedrészt azért is, mert én is ebben a szakmában dolgozom, és engem is felháborít, amikor ilyet látok.
Mit tehetsz, ha érintett vagy?
A bejegyzésben direkt nem linkeltem a GitHub repót, ami az eredeti Reddit posztban van, azt törölték, de elég sok fork elérhető. Ha megtalálod a saját adataidat, akkor a NAIH-nál jelentheted, de az Alapvető Jogok Biztosának Hivatalánál az alábbi linken Ügyfélkapu hozzáférés nélkül is tudsz bejelentést tenni.
A kiemelt kép a Pixabay-ről érkezett. Az esetről azóta a Telex is írt.
Kiegészítés – 2024. október 3.
Nagyjából egy órája osztotta meg LinkedIn-en a Switch a saját nyilatkozatukat:
Itt egy klassz és biztonságos tool arra, hogy megnézze valaki, benne volt-e az emailcíme a leakben: https://randomszamok.github.io/switch-erp-check/
Köszi! <3