Cornerstone Staffing Solutions évalue un incident de cybersécurité après que le groupe de ransomware Qilin a affirmé avoir volé un grand volume de données internes, y compris des CV appartenant à des candidats à un emploi. Le groupe a publié des échantillons sur son site de fuite et a indiqué que le cache contient environ 300 Go de fichiers. Qilin a également affirmé que le matériel contient des informations personnelles issues de plus de cent mille CV, ainsi que des documents internes supplémentaires. Cornerstone, une agence de recrutement basée dans la région de la baie de San Francisco avec des bureaux à travers les États-Unis, n’a pas confirmé publiquement l’ampleur de la violation.
Les fichiers publiés par Qilin incluent des documents qualifiés de CV qui semblent contenir des noms, adresses, numéros de téléphone et informations d’email. Certains échantillons contiennent également des numéros de sécurité sociale et des numéros d’identification des employés, bien qu’il ne soit pas clair s’ils appartiennent à des candidats, à des employés actuels ou aux deux. D’autres documents présentés par le groupe incluent des factures, des relevés de ventes, des informations bancaires et des accords de confidentialité. Les analystes en cybersécurité qui examinent les échantillons notent que le contenu est cohérent avec les données détenues par les agences de recrutement et pourrait être utilisé pour le vol d’identité ou la fraude ciblée.
Les agences de recrutement et de recrutement détiennent de nombreuses informations personnelles car elles collectent des CV, des antécédents professionnels et des données de vérification des antécédents. Les spécialistes du secteur avertissent que ces entreprises peuvent faire face au même niveau de ciblage que les grands employeurs, mais peuvent ne pas disposer de ressources de sécurité équivalentes. Les données des candidats sont particulièrement attractives pour les groupes de menace car elles incluent des informations personnelles et professionnelles précises pouvant être utilisées pour rédiger des messages de phishing convaincants. Les attaquants peuvent également utiliser ces informations pour cibler les organisations qui finissent par embaucher les candidats concernés.
Qilin gère un service de ransomware qui permet à des groupes affiliés de mener des attaques et de partager une partie des bénéfices. Le groupe a été actif dans plusieurs secteurs cette année, notamment la fabrication, la logistique et les services financiers. Ses campagnes récentes impliquent souvent le vol de données suivi de la publication sur des sites de fuites, même lorsque les victimes ne répondent pas aux demandes de rançon. Les chercheurs en sécurité notent qu’une fois les données publiées, elles peuvent se propager à d’autres groupes criminels ou être revendues sur des places de marché clandestines.
Le site public de Cornerstone indique que l’entreprise travaille chaque année avec plus de dix mille chercheurs d’emploi et soutient des secteurs tels que la logistique, le transport, la fabrication et la technologie. En raison de la nature de son activité, l’entreprise stocke régulièrement des CV, des formulaires d’intégration et des informations liées à la paie. Les analystes estiment que toute violation confirmée affectant ce type de données nécessiterait un examen minutieux des obligations de notification en vertu des lois étatiques sur la vie privée.
L’incident met en lumière une tendance plus large dans laquelle les groupes de menace ciblent les organisations qui collectent et stockent des informations personnelles à grande échelle. Les agences de recrutement, les traitements de paie et les prestataires de services de ressources humaines détiennent de nombreux ensembles de données liés à plusieurs entreprises. Un compromis au sein d’une entreprise peut révéler des informations appartenant à plusieurs employeurs et chercheurs d’emploi. Les conseillers en sécurité recommandent aux sociétés de recrutement d’évaluer la segmentation des systèmes, les contrôles d’accès aux données et les processus de gestion des risques tiers afin de réduire l’exposition à des incidents similaires.
Cornerstone n’a pas publié de directives publiques détaillées pour les personnes concernées. Les experts en cybersécurité estiment que toute personne dont le CV ou les documents personnels ont été conservés dans une agence de placement devrait surveiller les comptes pour détecter des activités inhabituelles et rester vigilante face aux messages non sollicités faisant référence à d’anciennes candidatures ou candidatures d’emploi.