UniCredit – Data Breach

UniCredit Services este parte a Grupului UniCredit. Platforma de recomandare a candidatilor pentru posturile vacante, Talentspotting, a avut recent un incident de securitate, astfel ca UniCredit a anuntat utilizatorii printr-o scrisoare asupra incidentului si masurile organizatorice intreprinse. Partea interesanta este ca platforma Talentspotting era folosita de catre angajatii UniCredit pentru a recomanda joburi deschise catre prieteni, astfel ca printre datele sustrase se pot regasi foarte multe date chiar ale angajatilor UniCredit.

Talentspotting este operata de catre Brainspotting Consulting SRL, companie al carui portofoliu este impresionant si include nume precum Orange, OLX, Raiffeisen Bank, Edenred, Medicover, Finastra si multi altii.

Stimate candidat,

Primesti acest email fiindca esti/ai fost utilizator al platformei https://uoicreditservices.talentspotting.com. Duminica, 19/04/2020 am fost informati ca este posibil ca platforma Talentspotting, gestionata de un furnizor extern, sa fi fost impactata de o potentiala pierdere/scurgere de date. Astfel, datele pe care le-ai utilizat la inregistrarea pe platforma, se poate sa fi fost compromise.

Te anuntam ca am actionat imediat si am solicitat furnizorului sa inchida platforma. Mai mult, am anuntat autoritatile locale de Protectie a Datelor si vom informa autoritatile legale (politia) cu privire Ia aceasta potentiala pierdere/scurgere de date.

Conform analizei realizate pana acum, informatiile utilizate pentru inregistrarea pe platforma, si care sunt susceptibile de a fi fost impactate sunt: nume, prenume, adresa de email, parola codificata (nu in clar) si numarul de telefon (unde a fost indicat).

Fiindca nu poate fi exclus faptul ca pierderea datelor furnizate sa fie utilizate de catre o terta parte intr-un mod malitios pentru access nelegitim pe alte platforme unde ai fost inregistrat sau pentru “phishing”, te rugam sa iei in considerare schimbarea parolei in cazul in care utilizezi acelasi user si parola pentru alte siteuri/platforme ca cele utilizate pe Talentspotting. Te rugam sa iti setezi parola la un nivel inalt de complexitate si sa acorzi atentie sporita fiecaror mesaje primite de Ia expeditori necunoscuti via email sau mesaje text ce contin elemente suspicioase ce iti solicita sa introduci date de acces sau sa actionezi in acest sens.

Ne cerem scuze pentru orice inconveniente create de acest incident si te asiguram ca luam toate masurile necesare impreuna cu furnizorul extern, cat si cu autoritatile locale competente pentru a semnala pierderea/scurgerea de date si pentru a reduce orice efecte adverse. Pentru alte informatii suplimentare ne poti contacta la urmatoarea adresa de e-mail: usromania-contact.unicreditservices@unicredit.eu  UniCredit Services Branch Romania.

Cu stima,

Cristian Cilibiu – Country Manager UniCredit Services Romania

In trecut, Grupul UniCredit a mai avut in Romania un incident de securitate fiind semnalat faptul ca in documentele de tranzactionare online, beneficiarul tranzactiei putea sa vadă CNP-ul si adresa persoanelor care efectuau plati catre conturi UniCredit, luand o amenda de numai 130.000 euro.

Prin 2015 au plecat datele a peste 3.000.000 clienti (link), motiv pentru care un an mai tarziu, Customer data safety and security is UniCredit’s top priority and since the 2016 launch of the program Transform 2019, the Group has invested an additional 2.4 billion euro in upgrading and strengthening its IT systems and cyber security. Sunt curios acum cate milioane vor investi prin achizitii directe sau licitatii facute rapid, astfel incat sa inlocuiasca nevoia HR-ului in ceea ce priveste utilizarea unei platforme de recomandare a pozitiilor deschise din interiorul companiei.

Talentspotting este folosit de catre companii precum Provident, Stefanini, Michelin, Microchip, A&D Pharma sau Macromex, deci este posibil ca toti utilizatorii ce au aplicat prin intermediul Talentspotting la una dintre aceste companii sa fi fost afectati de incidentul de securitate.

Recomandarea săptămânii
Fitbit Sense

Tags:

BanciInternet

  1. Ceva nu se leaga. Au luat numai tabela de _users? Daca da, de ce nu erau anonimizate datele, cum este cerință GDPR si cat de safe era criptată parola, ca daca o țineau in base64 le găsim pe pastebin deja in clear text 😉

    Cristian Iosub