Vol de données : le cas de Monster.com s’aggrave
Une nouvelle intrusion dans la base de données du site de recrutement
pourrait affecter plusieurs millions d’utilisateurs.
Le site de recrutement Monster.com a reconnu que le vol de données personnelles a finalement touché plus de chercheurs d’emploi inscrits sur son site que les 1,3 million initialement annoncés.
Selon Sal Iannuzzi, PDG de la société, les enquêtes menées en interne ont révélé une deuxième attaque. Il a reconnu qu’il était impossible à ce jour de déterminer précisément le volume d’informations dérobées au cours de cette seconde attaque, de même que la fréquence des accès non autorisés à sa base de données.
« Nous pensons que ce nombre est important », a-t-il confié à Reuters. « Il pourrait facilement atteindre plusieurs millions. »
Malgré la promesse d’investir entre 80 et 100 millions de dollars dans la surveillance du trafic et dans la sécurité, Sal Iannuzzi a laissé entendre qu’il était impossible de garantir formellement la sécurité de Monster.com. « Je veux être clair et franc : il n’y a pas de solution garantie », a-t-il déclaré. « J’aimerais pouvoir dire qu’il n’y a absolument aucun risque pour que notre site soit à nouveau compromis. Mais je ne peux pas faire cette promesse et aucune société sur Internet ne le peut. »
Monster.com a insisté sur le fait que seuls des noms, adresses, numéros de téléphone et adresses e-mail ont été dérobés.
Pour autant, certains utilisateurs de Monster.com ont déjà subi d’autres attaques ciblées utilisant des techniques de social engineering pour obtenir des informations financières. Les victimes ont reçu des e-mails en provenance de faux recruteurs les invitant à fournir leurs coordonnées bancaires pour compléter leur candidature. De faux e-mails contenant des liens vers des logiciels malveillants pouvant conduire au vol de données sensibles ont également été envoyés.
Monster.com a maintenu le secret sur la première attaque pendant cinq jours avant d’informer ses utilisateurs du problème.
Le site possède une base de données contenant environ 73 millions de CV. Selon Sal Iannuzzi, seuls quelques centaines d’utilisateurs et une « poignée » d’employeurs ont fermé leur compte à la suite de ces attaques.
Traduction d’un article de Vnunet.com en date du 30 août 2007