Czy CV jest łakomym kąskiem dla cyberprzestępcy?
Wiele zależy od zawartości samego dokumentu. Jeśli nasze CV ogranicza się do podstawowych informacji, które i tak są publicznie dostępne (np. na profilach zawodowych w mediach społecznościowych), ryzyko jest minimalne. Problem pojawia się w momencie, gdy w CV umieszczamy dane wrażliwe. To właśnie one są „wysoko wyceniane” na czarnym rynku i stają się realnym celem dla cyberprzestępców.
CV może więc być łakomym kąskiem. W 2023 roku doszło do wycieku danych zewnętrznego systemu rekrutacyjnego, z którego korzystało wiele, znanych marek. W wyniku błędu konfiguracji serwera (tzw. otwarty katalog), dokumenty aplikacyjne tysięcy kandydatów były dostępne publicznie w wyszukiwarce Google. W dokumentach tych znaleźć można było adresy zamieszkania oraz zdjęcia. Firmy korzystające z tego systemu musiały wysłać powiadomienia do kandydatów o naruszeniu ochrony danych osobowych (zgodnie z RODO), a na dostawcę oprogramowania nałożono obowiązek naprawczy.
Idąc dalej i czytając sprawozdania UODO z 2024 roku dowiadujemy się, że do Urzędu Ochrony Danych Osobowych wpłynęło 14 842 zgłoszeń naruszeń ochrony danych osobowych. Liczba ta sukcesywnie rośnie od 2020 roku.

| theprotocol.it Potencjalni pracownicy, którzy wysyłają swoje CV przez różne portale pracy, często obawiają się, że to CV trafi w złe ręce, że dojdzie do wycieku danych. Czy można się jakoś przed tym zabezpieczyć? Na co powinniśmy zwrócić uwagę? Kamil Porembiński: Generalnie dane w CV są słabo wrażliwe, bo tam podajemy jedynie imię, nazwisko, to gdzie pracujemy. CV nie jest samo w sobie wrażliwą daną. Gorzej jak ludzie podają swój adres zamieszkania. Po co? Tu działa zasada krytycznego myślenia. Dlatego tak naprawdę nie ma złych rzeczy w CV, chyba że budujemy je w nieumiejętny sposób. Należy natomiast zwrócić uwagę, czy my faktycznie wysyłamy tą “CVkę” do firmy, która jest realną firmą, a nie przestępcą. Mam przykład z mojego podwórka. To było dawno temu, znam przypadek osoby, która wykorzystała Targi Łódzkie w Hali Expo jako podkładkę pod fikcyjne ogłoszenie o pracę. Ta osoba zbierała CV potencjalnych hostess, z informacją, że będą musiały modelingować, dlatego konieczne są ich pełne zdjęcia. Był fikcyjny mail z prośbą o imię, nazwisko, pełen adres zamieszkania i… zdjęcie w bikini. Ponoć wpadło 80 CV w paręnaście minut. Żadna osoba nie wpadła na pomysł, że to jest fejk. Nie powinno się takich danych i zdjęć wysyłać na maila potencjalnego pracodawcy. Takich fikcyjnych ofert jest pełno, a ludzie szukając pracy często nie myślą, komu to wysyłają. To się nazywa po prostu harvesting danych. Wyłudzanie zdjęć, a następnie sprzedawanie bazy danych. |
Czym jest harvesting danych?
Harvesting danych (z ang. data harvesting, czyli „żniwa danych”), znany również jako web scraping, to proces automatycznego zbierania i gromadzenia ogromnych ilości informacji przez specjalne boty i algorytmy. Jest to metoda, za pomocą której cyberprzestępcy budują gigantyczne bazy danych osób poszukujących pracy.
W skrajnych przypadkach, z wykorzystaniem data harvesting dojść może do jeszcze większych naruszeń - zwłaszcza, gdy podajemy dane bez większej refleksji. Dowodem na to jest atak z 2025 roku, który dotknął sektor IT w Europie Środkowej. W jego wyniku cyberprzestępcy stworzyli fałszywą stronę firmy logistycznej, łudząco podobną do lidera rynku, pozyskując w ten sposób CV od specjalistów wysokiego szczebla. W tej jednej akcji pozyskano ponad 500 danych, które co prawda nie zostały sprzedane (a przynajmniej nic o tym nie wiadomo), ale pozyskano je do próby włamań np. na konta bankowe. W tym samym roku doszło do ataku ze strony grupy ransomware, która zainteresowała się firmą ochroniarską. Na skutek cyberprzestępstwa doszło do wycieku danych części pracowników i klientów. Łącznie udało się wykraść prawie milion plików, które zajęły 900 GB pamięci.

