Cornerstone Staffing Solutions beoordeelt een cyberbeveiligingsincident nadat de ransomwaregroep Qilin beweerde een grote hoeveelheid interne gegevens te hebben gestolen, waaronder cv’s van werkzoekenden. De groep publiceerde voorbeelden op hun leksite en zei dat de cache ongeveer 300GB aan bestanden bevat. Qilin beweerde ook dat het materiaal persoonlijke informatie bevat afkomstig van meer dan honderdduizend cv’s, samen met aanvullende interne documenten. Cornerstone, een uitzendbureau gevestigd in de San Francisco Bay Area met kantoren door heel de Verenigde Staten, heeft de omvang van het datalek niet publiekelijk bevestigd.
Bestanden die door Qilin zijn geplaatst, bevatten documenten die als cv’s zijn gelabeld en die namen, adressen, telefoonnummers en e-mailgegevens lijken te bevatten. Sommige voorbeelden bevatten ook sofinummers en medewerkersidentificatienummers, hoewel het niet duidelijk is of deze toebehoren tot kandidaten, huidige werknemers of beide. Overig materiaal dat door de groep is getoond, omvat facturen, verkoopadministratie, bankgegevens en geheimhoudingsverklaringen. Cybersecurity-analisten die de voorbeelden bekijken, merken op dat de inhoud overeenkomt met gegevens van uitzendbureaus en gebruikt kan worden voor identiteitsdiefstal of gerichte fraude.
Uitzend- en wervingsbureaus bezitten uitgebreide persoonlijke informatie omdat ze cv’s, arbeidsverhalen en achtergrondscreeningsgegevens verzamelen. Branchespecialisten waarschuwen dat deze bedrijven hetzelfde niveau van targeting kunnen ondervinden als grotere werkgevers, maar mogelijk niet over gelijkwaardige beveiligingsmiddelen beschikken. Kandidaatgegevens zijn bijzonder aantrekkelijk voor dreigingsgroepen omdat ze nauwkeurige persoonlijke en professionele gegevens bevatten die kunnen worden gebruikt om overtuigende phishingberichten te schrijven. Aanvallers kunnen de informatie ook gebruiken om organisaties te targeten die uiteindelijk de getroffen kandidaten aannemen.
Qilin exploiteert een ransomware-dienst waarmee gelieerde groepen aanvallen kunnen uitvoeren en een deel van de opbrengst kunnen delen. De groep is dit jaar actief geweest in meerdere sectoren, waaronder productie, logistiek en financiële diensten. De recente campagnes houden vaak plaats bij datadiefstal, gevolgd door publicatie op leksites, zelfs wanneer slachtoffers niet meedoen aan losgeldeisen. Beveiligingsonderzoekers merken op dat zodra data is geplaatst, deze zich kan verspreiden naar andere criminele groepen of kan worden doorverkocht op ondergrondse marktplaatsen.
Op de openbare website van Cornerstone staat dat het bedrijf jaarlijks met meer dan tienduizend werkzoekenden werkt en sectoren ondersteunt zoals logistiek, transport, productie en technologie. Vanwege de aard van haar activiteiten bewaart het bedrijf routinematig cv’s, onboardingformulieren en loongerelateerde informatie. Analisten zeggen dat elke bevestigde inbreuk die dit type gegevens raakt, een zorgvuldige herziening van de meldingsverplichtingen onder de privacywetgeving van de staat vereist.
Het incident benadrukt een bredere trend waarbij dreigingsgroepen organisaties targeten die persoonlijke informatie op grote schaal verzamelen en opslaan. Wervingsbureaus, loonadministratieverwerkers en HR-dienstverleners beschikken over uitgebreide datasets die gekoppeld zijn aan meerdere bedrijven. Een compromis bij één bedrijf kan informatie blootleggen die toebehoort aan meerdere werkgevers en werkzoekenden. Beveiligingsadviseurs adviseren uitzendbureaus om systeemsegmentatie, toegangscontroles voor gegevens en processen voor derden te evalueren om de blootstelling aan soortgelijke incidenten te verminderen.
Cornerstone heeft geen gedetailleerde openbare richtlijnen uitgegeven voor getroffen personen. Cybersecurity-experts zeggen dat iedereen wiens cv of persoonlijke documenten bij een uitzendbureau zijn opgeslagen, accounts moet monitoren op ongebruikelijke activiteiten en voorzichtig moet zijn met ongevraagde berichten die verwijzen naar eerdere banen of sollicitaties.