Czy Twoje dane zawarte w CV są bezpieczne? Seria z Kamilem Porembińskim

Jak wysłać CV, żeby dane były bezpieczne? Jak bezpiecznie szukać pracy? Raport Antyfraudowy BIK 2025 nie pozostawia złudzeń: już ponad 34% polskich firm padło ofiarą cyberataku. Równolegle obserwujemy niepokojący, aż 150% wzrost liczby fałszywych ofert pracy (tzw. job scams). W tej rzeczywistości obawy kandydatów o bezpieczeństwo ich danych w CV mogą być w pełni uzasadnione. Czy nasze życiorysy to rzeczywiście „cyfrowe złoto” dla przestępców? Wspólnie z ekspertem, Kamilem Porembińskim, analizujemy skalę zagrożenia.
https://cms.pracuj.pl/content/uploads/2026/02/Czy-Twoje-dane-w-CV-sa-bezpieczne-1024x577.jpg

Czy CV jest łakomym kąskiem dla cyberprzestępcy?

Wiele zależy od zawartości samego dokumentu. Jeśli nasze CV ogranicza się do podstawowych informacji, które i tak są publicznie dostępne (np. na profilach zawodowych w mediach społecznościowych), ryzyko jest minimalne. Problem pojawia się w momencie, gdy w CV umieszczamy dane wrażliwe. To właśnie one są „wysoko wyceniane” na czarnym rynku i stają się realnym celem dla cyberprzestępców.

CV może więc być łakomym kąskiem. W 2023 roku doszło do wycieku danych zewnętrznego systemu rekrutacyjnego, z którego korzystało wiele, znanych marek. W wyniku błędu konfiguracji serwera (tzw. otwarty katalog), dokumenty aplikacyjne tysięcy kandydatów były dostępne publicznie w wyszukiwarce Google. W dokumentach tych znaleźć można było adresy zamieszkania oraz zdjęcia. Firmy korzystające z tego systemu musiały wysłać powiadomienia do kandydatów o naruszeniu ochrony danych osobowych (zgodnie z RODO), a na dostawcę oprogramowania nałożono obowiązek naprawczy.

Idąc dalej i czytając sprawozdania UODO z 2024 roku dowiadujemy się, że do Urzędu Ochrony Danych Osobowych wpłynęło 14 842 zgłoszeń naruszeń ochrony danych osobowych. Liczba ta sukcesywnie rośnie od 2020 roku.

theprotocol.it

Potencjalni pracownicy, którzy wysyłają swoje CV przez różne portale pracy, często obawiają się, że to CV trafi w złe ręce, że dojdzie do wycieku danych. Czy można się jakoś przed tym zabezpieczyć? Na co powinniśmy zwrócić uwagę?

Kamil Porembiński: Generalnie dane w CV są słabo wrażliwe, bo tam podajemy jedynie imię, nazwisko, to gdzie pracujemy. CV nie jest samo w sobie wrażliwą daną. Gorzej jak ludzie podają swój adres zamieszkania. Po co? Tu działa zasada krytycznego myślenia.

Dlatego tak naprawdę nie ma złych rzeczy w CV, chyba że budujemy je w nieumiejętny sposób.

Należy natomiast zwrócić uwagę, czy my faktycznie wysyłamy tą “CVkę” do firmy, która jest realną firmą, a nie przestępcą. Mam przykład z mojego podwórka. To było dawno temu, znam przypadek osoby, która wykorzystała Targi Łódzkie w Hali Expo jako podkładkę pod fikcyjne ogłoszenie o pracę. Ta osoba zbierała CV potencjalnych hostess, z informacją, że będą musiały modelingować, dlatego konieczne są ich pełne zdjęcia. Był fikcyjny mail z prośbą o imię, nazwisko, pełen adres zamieszkania i… zdjęcie w bikini. Ponoć wpadło 80 CV w paręnaście minut.

Żadna osoba nie wpadła na pomysł, że to jest fejk. Nie powinno się takich danych i zdjęć wysyłać na maila potencjalnego pracodawcy. Takich fikcyjnych ofert jest pełno, a ludzie szukając pracy często nie myślą, komu to wysyłają. To się nazywa po prostu harvesting danych. Wyłudzanie zdjęć, a następnie sprzedawanie bazy danych.

 

Czym jest harvesting danych?

Harvesting danych (z ang. data harvesting, czyli „żniwa danych”), znany również jako web scraping, to proces automatycznego zbierania i gromadzenia ogromnych ilości informacji przez specjalne boty i algorytmy. Jest to metoda, za pomocą której cyberprzestępcy budują gigantyczne bazy danych osób poszukujących pracy.

W skrajnych przypadkach, z wykorzystaniem data harvesting dojść może do jeszcze większych naruszeń - zwłaszcza, gdy podajemy dane bez większej refleksji. Dowodem na to jest atak z 2025 roku, który dotknął sektor IT w Europie Środkowej. W jego wyniku cyberprzestępcy stworzyli fałszywą stronę firmy logistycznej, łudząco podobną do lidera rynku, pozyskując w ten sposób CV od specjalistów wysokiego szczebla. W tej jednej akcji pozyskano ponad 500 danych, które co prawda nie zostały sprzedane (a przynajmniej nic o tym nie wiadomo), ale pozyskano je do próby włamań np. na konta bankowe. W tym samym roku doszło do ataku ze strony grupy ransomware, która zainteresowała się firmą ochroniarską. Na skutek cyberprzestępstwa doszło do wycieku danych części pracowników i klientów. Łącznie udało się wykraść prawie milion plików, które zajęły 900 GB pamięci.

Na co zwrócić uwagę?

Korzystanie z uznanych serwisów rekrutacyjnych to gwarancja pewnego poziomu ochrony. Odpowiednie platformy czy dedykowane aplikacje stosują zaawansowane szyfrowanie, przechodzą regularne audyty bezpieczeństwa i weryfikują pracodawców. Dane są przechowywane w zamkniętych systemach (ATS), do których dostęp mają tylko uprawnione osoby. Warto jednak zaznaczyć, że zagrożenie czyha nie tylko w procesie wysyłania swojego CV, ale także w mailach i plikach, które otrzymujemy od potencjalnego pracodawcy (np. w ramach procesu rekrutacyjnego).

 

Kamil Porembiński:

Zdarza się, że przestępca zakłada konto rekrutacyjne, np. na zdjęciu jest ładna dziewczyna, która poszukuje programistów do pracy nad jakimś projektem. No i oczywiście programiści z nią zaczynają rozmawiać. I ona mówi, że w procesie rekrutacji jest do wykonania jedno zadanie testowe. Klasyk. I w tym zadaniu testowym przestępca daje instrukcję programiście - ściągnij pliki i go uruchom na swoim komputerze. I tak szybko programiści instalują sobie wirusy, które np. zbierają hasła, loginy.

Znam przypadek agencji, w której doszło do włamania. Miała dwuskładnikowe uwierzytelnianie, tylko źle wdrożone. [...] Dlatego należy audytować wszystkich - powinna audytować siebie osoba, która pisze CV. Bo o ile tam nie są wrażliwe dane, o tyle np. Word potrafi zapisać, jaką drukarkę masz w mieszkaniu, w tzw.  metadanych. Może też zapisać autora, na kogo jest licencja. Niby nieprzydatne, ale jeżeli te dane wyciekną i połączę to z CV danej osoby, która ma tą drukarkę, to mam wektor ataku. Dlatego w cyberbezpieczeństwie się mówi: jedna dana, druga dana i prywatność wyjeb***.

 

Sprawdź maila, na który wysyłasz swoje CV

Przed wysłaniem CV warto upewnić się, że mail i firma, z którą się kontaktujemy faktycznie istnieje na rynku. Pomóc w tym mogą wyszukiwarki KRS czy CEIDG. Następnie zerknij na mail, który dotarł do Ciebie od rekrutera - poważne firmy nie prowadzą rekrutacji z darmowych domen (np. @gmail.com, @wp.pl). Zwróć także uwagę na tzw. typosquatting, który polega na rejestrowaniu domen internetowych o nazwach łudząco podobnych do znanych serwisów, ale zawierających drobne błędy literowe - np. @pracuj-pl.com zamiast @pracuj.pl.

Przed wysłaniem gotowej aplikacji upewnij się, że wpisałeś poprawny mail odbiorcy, że nikogo przez przypadek nie dodałeś do korespondencji, a jeśli jest to konieczne - że skorzystałeś z opcji UDW.

Jak czytamy we wspomnianym już sprawozdaniu: “Powodem naruszeń najczęściej był błąd pracownika zatrudnionego przez administratora danych, a naruszenia miały z reguły charakter jednorazowego incydentu. Zdarzały się jednak naruszenia będące konsekwencją błędów już na etapie gromadzenia danych, polegających na wskazaniu administratorom nieprawidłowych danych adresowych przez niedoszłych adresatów korespondencji. Wciąż bardzo często zgłaszanym naruszeniem było udostępnienie danych osobowych niewłaściwym adresatom z powodu przesyłania masowej korespondencji elektronicznej bez ukrycia adresów e-mail innych osób (UDW).[...]”.

Skąd te błędy? Dlaczego tak łatwo dajemy się nabrać i nie stosujemy podstawowych, dostępnych metod?

 

Kamil Porembiński: Brak jest cyfrowej edukacji, więc nie wymagajmy od ludzi z HRu, żeby wiedzieli coś o cyberbezpieczeństwie.[...] Ja myślę, że jestem wykształcony cyfrowo, dlatego nie otwieram cudzych plików na komputerze. Otwieram je przez Google Drive'a, bo on mnie chroni. Nie pobieram pliku na swój komputer i go nie otwieram, bo nie wiem, co tam jest. Otwieram go przez Google Dysk. Tam też są antywirusy, które go skanują. To jest cyfrowe BHP i wystarczy to powiedzieć rekruterom. No i zrobić im szkolenie.

theprotocol.it

To jest przerażające. To są proste mechanizmy do zrobienia, a konsekwencje są przecież ogromne.

Kamil Porembiński: Jeszcze apropo numeru telefonu, który dajemy w CV - a co, jeśli jestem stalkerem, a w CV widzę dziewczynę, która jest atrakcyjna? Są takie przypadki, chociażby w Łodzi, gdzie na sali sądowej doszło do tragedii. Dlatego ja chronię swój adres zamieszkania.

Oczywiście ciężko jest dbać o bezpieczeństwo, bo ono często jest niezależne od ciebie. Dlatego czasami lepiej podać fikcyjny adres. Tak samo, jak coś zamawiam w sklepach do punktów odbioru - podam fikcyjny adres zamówienia.

Tylko nikt z nas o tym nie myśli, bo w dobrej wierze ufamy ludziom.

theprotocol.it

Tak, zwykle nie tracimy na to nawet czasu, po prostu idziemy dalej, bo celem jest finalizowanie transakcji, albo wysłanie aplikacji o pracę, a nie analizowanie naszego bezpieczeństwa.

Kamil Porembiński: Tak, ale zawsze może być po drugiej stronie zły człowiek, który chce zrobić coś przeciwko nam. Ale dobrze, że jeszcze 2-3 lata temu nikt o tym nie chciał pisać, a teraz niektóre mądre instytucje się tego podejmują.

 

Podsumowanie

Wniosek? Największym zagrożeniem nie jest sam fakt wysyłania CV, ale brak czujności. Dlatego też bezpieczna rekrutacja opiera się na prostym mechanizmie – traktuj swoje dane jak walutę.

Zanim wyślesz swój życiorys, upewnij się, że trafia on w godne zaufania ręce. Korzystaj ze sprawdzonych portali pracy, unikaj podejrzanych linków i zastanów się, które dane są naprawdę niezbędne w procesie rekrutacji. Twoja kariera jest ważna, ale Twoje bezpieczeństwo w sieci – bezcenne.

the:protocol © 2026 Grupa Pracuj S.A.