En anden væsentlig misligholdelse data er blevet offentliggjort af Troy Hunt. I hans ord, bruddet på globalt rekrutteringsfirma Michael Page har meget til fælles med den australske Røde Kors hændelse. Mere specielt:
Det var den samme person, der lokaliserede Røde Kors data og den samme historie med hensyn til opdagelse af en underliggende risiko på serverenden; offentligt eksponeret hjemmeside, biblioteksfortegnelse aktiveret, .sql-filer afsløret.
Samme person kontaktede Jage og forsynede ham med en sikkerhedskopi med data om jobsøgende i Storbritannien. Han vurderede derefter, at alle tilgængelige sikkerhedskopier har mere end 30 GB rådata. Hvad angår antallet af personer, den britiske backup havde data på 780,000 mennesker.
De tilgåede data havde personernes navn, e-mail-adresse, (krypteret) adgangskode, telefonnummer, placering, oplysninger om deres nuværende job og dækkende besked (hvis en sådan var tilgængelig).
Den fil, jeg modtog, indeholdt tabelnavne, der indikerer, at det er som med Røde Kors, dette var outputtet af mysqldump, og i dette tilfælde indeholdt det tabelnavne, der pegede på Acquia, en hostet Drupal-platform. Yderligere information efterfulgt af skærmkapsler, der angiver forskellige andre felter og datauddrag, som du forventer, at folk leverer et rekrutteringsfirma.
Hunt lærte om bruddet i oktober 30. Han sendte straks oplysningerne til Capgemini, et outsourcingfirma og Michael Pages it-udbyder.
Hvad sagde Michael Page om hændelsen?
Det beklager vi at meddele dig pr 1 November 2016, vi blev gjort opmærksomme på, at en uautoriseret tredjepart ulovligt fik online adgang til en udviklingsserver brugt af vores it-udbyder, Capgemini til test af PageGroup-websteder. Vi er kede af at fortælle dig, at de oplysninger, du har angivet som en del af din seneste webstedsaktivitet, er blevet identificeret som blandt dem, du har fået adgang til.
Michael Page låste deres server med det samme. De sikrede sig også alle mulige indgangspunkter. En detaljeret undersøgelse blev startet, og firmaet var i stand til at konkludere, at ingen data blev taget med ondsindet hensigt. Virksomheden anmodede tredjeparten om at destruere eller returnere alle kopier af dataene. Dataene blev derefter ødelagt, siger Michael Page.
Virksomheden, dog, anerkendte ikke den periode, hvor dataene var tilgængelige online. Det vides heller ikke, om parter med potentielt ondsindede hensigter fandt dataene.
I betragtning af intensiteten af databrudshændelser, Troy Hunts råd til virksomheder er at drage fordel af bug-bounties til at rette lavthængende sårbarheder, der normalt er skyld i hændelserne.