Datalek bij sollicitatie via Homerun - Privacy en beveiliging

dinsdag 2 november 2021 16:01

Acties:

+2 Henk 'm!

Topicstarter

Hola allemaal! Heeft een van jullie ook deze mail gekregen? Blijkbaar is er een datalek geweest in de sollicitatieprodecure bij softwareclubje Q42 (via hun sollicitatieplatform homerun). Ook moeten ze dus nu met de billen bloot dat de data dus te lang blijft staan (het AP zegt "max 4 weken"):

Beste,

We mailen je omdat je ooit gesolliciteerd hebt bij Q42. Om het sollicitatieproces zo goed mogelijk te doen maken wij gebruik van de software van Homerun.

Op vrijdag 29 oktober 2021 heeft Homerun ons laten weten dat er een aanval op hun systemen heeft plaatsgevonden. Een hacker heeft toegang gekregen tot persoonlijke data van sollicitanten en data gekopieerd. Na ontdekking zegt Homerun een overeenkomst gesloten te hebben met de hacker, waarna de gekopieerde data is verwijderd. Homerun stelt dat de kans heel klein is, dat er toch nog een kopie van de data is. De systemen van Homerun zijn inmiddels aangepast, zodat het lek niet meer bestaat.

We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities.

Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen. Bij Q42 gaan we heel zorgvuldig met iedere sollicitatie om. Hoewel de kans misschien klein is dat je data nog gebruikt wordt, vinden we het belangrijk om deze informatie transparant met je te delen.

We hebben zelf inmiddels melding gedaan bij de Autoriteit Persoonsgegevens en we staan in nauw contact met Homerun over hun onderzoek. Mocht er nieuwe informatie bekend worden over dit lek, dan laten we je dat weten.

We hopen dat het hierbij blijft.

Als je nog vragen hebt, aarzel dan niet om te mailen naar privacy@q42.nl. We zullen dan zo snel mogelijk je vragen proberen te beantwoorden.

Met vriendelijke groet,

Jasper Kaizer

directeur, Q42
toon volledige bericht

Nou, lekker dan!

dinsdag 2 november 2021 16:05

Acties:

+2 Henk 'm!

kamerplant

Wel netjes dat ze het melden. Zelf zou ik eigenlijk opvragen welke informatie het exact betreft (inclusief notities), het is toch wel fijn om te weten welke gegevens precies op straat heeft gelegen. En dan gelijk maar vragen om de gegevens te verwijderen.

🌞🍃

dinsdag 2 november 2021 17:40

Acties:

+9 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

kamerplant schreef op dinsdag 2 november 2021 @ 16:05:
Wel netjes dat ze het melden.

Dat zijn ze verplicht.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 2 november 2021 20:30

Acties:

+1 Henk 'm!

kodak

FP ProMod

digigast schreef op dinsdag 2 november 2021 @ 16:01:
Hola allemaal! Heeft een van jullie ook deze mail gekregen? Blijkbaar is er een datalek geweest in de sollicitatieprodecure bij softwareclubje Q42 (via hun sollicitatieplatform homerun). Ook moeten ze dus nu met de billen bloot dat de data dus te lang blijft staan (het AP zegt "max 4 weken"):

[...]

Nou, lekker dan!

Prettig dat ze je informeren maar dit soort beweringen vraagt om uitleg:

Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier.

Het is namelijk wel erg makkelijk om teleurgesteld te zijn dat het gebeurt is zonder te noemen wat ze werkelijk gedaan hebben om die teleurstelling te voorkomen. En juist daar krijg je nu geen enkele uitleg over. De wet stelt dat ze vooraf voldoende moeten hebben gedaan om te voorkomen dat je persoonsgegevens zullen lekken. Maar daar noemen ze dus niets over op.

dinsdag 2 november 2021 20:48

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

kodak schreef op dinsdag 2 november 2021 @ 20:30:
Het is namelijk wel erg makkelijk om teleurgesteld te zijn dat het gebeurt is zonder te noemen wat ze werkelijk gedaan hebben om die teleurstelling te voorkomen.

Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 2 november 2021 21:01

Acties:

+3 Henk 'm!

kodak

FP ProMod

jurroen schreef op dinsdag 2 november 2021 @ 20:48:
[...]

Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?

Ik bedoel vooral wat ze vooraf gedaan hebben om deze teleurstelling te voorkomen.

dinsdag 2 november 2021 21:16

Acties:

0 Henk 'm!

digigast

Topicstarter

jurroen schreef op dinsdag 2 november 2021 @ 20:48:
[...]

Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?

Ze zijn ook de eerste keer, bij wet, gewoon verplicht om je data veilig te houden hoor.

dinsdag 2 november 2021 21:56

Acties:

+1 Henk 'm!

Katie80

Hoe lang geleden heb je gesolliciteerd?

Ik mag hopen dat dat in de afgelopen 4 weken is geweest, aangezien ze de gegevens niet langer horen te bewaren.

dinsdag 2 november 2021 21:59

Acties:

+3 Henk 'm!

jurroen

Security en privacy geek

Dat zijn ze zeker

En Q42 is voor jou de verantwoordelijke. Zowel wettelijk als ethisch. Uit eigen ervaring zullen ze waarschijnlijk iets gaan blaten dat ze Homerun (vrij bekend platform voor recruiting) gebruiken.

Laat je daardoor niet van de kaart brengen. Het blijft hun verantwoordelijkheid!

En hoe willen ze herhaling voorkomen? "Lekje in platform, we hebben ff apt dist-upgrade gedaan en gereboot" volstaat niet. Plus, wat @kodak ook (terecht) aangaf: wat hebben ze in de eerstr instantie gedaan om het lek te voorkomen?

Kunnen ze met een heel mooi document komen met firewalls, encryptie (military grade

) - maar dat ontslaat Q42 niet van dingen als dataminimalisatie, privacy etc. Als jouw sollicitatie al afgehandeld is, hoe lang bewaren ze dat, voor welk doel - en indien legitiem: waarom op een live omgeving in plaats van alleen een hardcopy in een verankerde kluis (of iets dergelijks)?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 2 november 2021 22:07

Acties:

+1 Henk 'm!

digigast

Topicstarter

Katie80 schreef op dinsdag 2 november 2021 @ 21:56:
Hoe lang geleden heb je gesolliciteerd?

Ik mag hopen dat dat in de afgelopen 4 weken is geweest, aangezien ze de gegevens niet langer horen te bewaren.

Bijna het 52-voudige; 4 jaar. Ze hebben die data 4 jaar lang vast gehouden.

dinsdag 2 november 2021 22:25

Acties:

+1 Henk 'm!

kodak

FP ProMod

digigast schreef op dinsdag 2 november 2021 @ 22:07:
[...]

Bijna het 52-voudige; 4 jaar. Ze hebben die data 4 jaar lang vast gehouden.

Dat is dan nog een extra reden om te vragen wat die teleurstelling waard is, als ze kennelijk de gegevens zo lang zijn gaan bewaren bij het risico op lekken. En ook wat de redenen dan waren en waaruit blijkt dat het redelijk was om dat risico voor jou als sollicitant te nemen.

woensdag 3 november 2021 09:04

Acties:

0 Henk 'm!

Katie80

Wow, 4 jaar? Dan heb je als bedrijf je processen duidelijk niet op orde.
Ik vind het stuitend dat ze de schuld volledig afschuiven naar Homerun in die e-mail, terwijl ze zelf een groot risico hebben genomen door de gegevens zo lang (onrechtmatig) te bewaren.
Dat getuigt van bijzonder weinig zelfreflectie.

woensdag 3 november 2021 12:08

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

Toen ik net uit interesse dat Homerun platform bekeek, zag ik dat ze Nederlands waren. Ik vind het wel een interessante, want hoezo maken zij mogelijk dat dergelijke data vier jaar in hun systeem staat - waar dat van de AP niet mag?

Ik ga ze hierover mailen en zal jullie op de hoogte houden.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

woensdag 3 november 2021 13:32

Acties:

+4 Henk 'm!

Vegazz

Ah, ik ontving net een mail vanuit een van de grote commerciele omroepen in Nederland, met dezelfde tekst. Meer dan een half jaar geleden voor het laatst contact (Sollicitatie) gehad. Navraag gedaan over hun bewaartermijn en welke gegevens ze van mij nog steeds hebben.

woensdag 3 november 2021 13:34

Acties:

+2 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

jurroen schreef op woensdag 3 november 2021 @ 12:08:
Toen ik net uit interesse dat Homerun platform bekeek, zag ik dat ze Nederlands waren. Ik vind het wel een interessante, want hoezo maken zij mogelijk dat dergelijke data vier jaar in hun systeem staat - waar dat van de AP niet mag?

Daar gaat Homerun niet over (behalve dan dat de software het vernietigen moet ondersteunen), daar gaan de individuele klanten van ze over.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 3 november 2021 13:46

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

F_J_K schreef op woensdag 3 november 2021 @ 13:34:
[...]

Daar gaat Homerun niet over (behalve dan dat de software het vernietigen moet ondersteunen), daar gaan de individuele klanten van ze over.

Ja, het is de verantwoordelijkheid van hun klant - Q42 in dit geval. Echter zou het Homerun sieren door hier privacy by design toe te passen en die records automatisch op te schonen als de klant Nederlands is en de sollicitatiestatus "afgerond" of "afgewezen" is.

De mail die ik hun kant heb opgestuurd is ook niet verwijtend, maar informerend. In het allerbeste, maar onrealistische, scenario gaat er een lichtje branden en ontwikkelen ze zoiets. En ik vind het zelf ook wel interessant om te weten hoe ze hiermee omgaan

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

woensdag 3 november 2021 13:54

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

jurroen schreef op woensdag 3 november 2021 @ 13:46:
[...]
Echter zou het Homerun sieren door hier privacy by design toe te passen en die records automatisch op te schonen als de klant Nederlands is en de sollicitatiestatus "afgerond" of "afgewezen" is.

offtopic:
Nee, dat is een datalek by design. De verwerker mag niet beslissen over de data. Wel zouden ze een knop kunnen maken die dat zonder moeite doet.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 3 november 2021 13:59

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

F_J_K schreef op woensdag 3 november 2021 @ 13:54:
[...]

offtopic:
Nee, dat is een datalek by design. De verwerker mag niet beslissen over de data. Wel zouden ze een knop kunnen maken die dat zonder moeite doet.

offtopic:
Laatste OT reply: oh, daar had ik niet aan gedacht. Goede opmerking wel, bedankt!

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

woensdag 3 november 2021 14:16

Acties:

0 Henk 'm!

digigast

Topicstarter

Vegazz schreef op woensdag 3 november 2021 @ 13:32:
Ah, ik ontving net een mail vanuit een van de grote commerciele omroepen in Nederland, met dezelfde tekst. Meer dan een half jaar geleden voor het laatst contact (Sollicitatie) gehad. Navraag gedaan over hun bewaartermijn en welke gegevens ze van mij nog steeds hebben.

Interessant! En er zijn dus duidelijk nog meer klanten van Homerun de dupe:

https://www.vpngids.nl/ni...n-getroffen-door-datalek/

Uit dat artikel begrijp ik dat het volgens Homerun gegaan is om een prutserige configuratie van Apache. You had one job.....

woensdag 3 november 2021 15:25

Acties:

0 Henk 'm!

DaFeliX

Tnet Devver

digigast schreef op woensdag 3 november 2021 @ 14:16:
[...]

Interessant! En er zijn dus duidelijk nog meer klanten van Homerun de dupe:

https://www.vpngids.nl/ni...n-getroffen-door-datalek/

Uit dat artikel begrijp ik dat het volgens Homerun gegaan is om een prutserige configuratie van Apache. You had one job.....

Waar lees jij dat? Ik lees dat ze een kwetsbaarheid in apache hebben misbruikt:

[...] Tevens is er geen sprake van een menselijke fout waardoor de deur naar klantgegevens openstond.

Onbekenden misbruikten een kwetsbaarheid in de Apache web server software. Daardoor konden de daders op afstand opdrachten uitvoeren en wisten ze toegang te krijgen tot de account op Amazon Web Services (AWS). Homerun gelooft niet dat het een gerichte aanval was, maar dat de aanvallers opportunistisch te werk gingen en per toeval bij het bedrijf terecht kwamen.[...]

Einstein: Mijn vrouw begrijpt me niet

woensdag 3 november 2021 15:58

Acties:

0 Henk 'm!

digigast

Topicstarter

DaFeliX schreef op woensdag 3 november 2021 @ 15:25:
[...]

Waar lees jij dat? Ik lees dat ze een kwetsbaarheid in apache hebben misbruikt:

[...]

Wat is het verschil? Het is toch een vulnerability in de Apache configuratie die zij zelf hebben onderhouden? Het is niet zo dat het een core Apache vulnerability is anders had iedereen er wel last van.

Je ziet daar de zelfde tenenkrommende "wij konden er niks aan doen, het komt door een leverancier" mentaliteit als Q42 heeft.

Zou Homerun nu teleurgesteld zijn in Apache?

[ Voor 12% gewijzigd door digigast op 03-11-2021 16:04 ]

woensdag 3 november 2021 19:33

Acties:

+4 Henk 'm!

jurroen

Security en privacy geek

digigast schreef op woensdag 3 november 2021 @ 15:58:
[...]

Het is niet zo dat het een core Apache vulnerability is anders had iedereen er wel last van.

Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

woensdag 3 november 2021 22:54

Acties:

0 Henk 'm!

digigast

Topicstarter

jurroen schreef op woensdag 3 november 2021 @ 19:33:
[...]

Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.

Oh auch! Thanks voor de link. Dat maakt de zaak (aan de kant van Homerun) ook wel weer anders.

Moet wel CGI expliciet enabled zijn trouwens. Doen mensen dat nog in 2021??

donderdag 4 november 2021 11:33

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

digigast schreef op woensdag 3 november 2021 @ 22:54:
[...]

Oh auch! Thanks voor de link. Dat maakt de zaak (aan de kant van Homerun) ook wel weer anders.

Moet wel CGI expliciet enabled zijn trouwens. Doen mensen dat nog in 2021??

Ik weet niet of het expliciet aangezet moet worden. Dat hangt van de defaults af van zowel Apache als een eventuele distrobakker. Ik weet wel dat het op de shared panel servers standaard aan staat (cPanel, DirectAdmin in ieder geval). Dus het handige neefje dat wat websites voor vrienden en familie host op een VPSje met die controlepanels kan nu wel eens een flink probleem hebben.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 4 november 2021 11:56

Acties:

+2 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Homerun gelooft niet dat het een gerichte aanval was, maar dat de aanvallers opportunistisch te werk gingen en per toeval bij het bedrijf terecht kwamen

Tja daarom is het belangrijk om je VA en threat intelligence op orde te hebben. Zeker als je een betaalde (cloud)dienst verkoopt.

Deze vulnerability is via diverse sites voorbij gekomen en kon in bepaalde situaties inderdaad makkelijk exploited worden. Dan weet je gewoon dat er binnen no-time het hele internet gescanned gaat worden.

Zolang er geen patch van de leverancier is zou men tijdelijk meer monitoring in kunnen zetten (op verdacht netwerkverkeer en lokaal op de servers zelf) en wellicht dat iets als AWS WAF helpt maar daar heb ik geen ervaring mee.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 4 november 2021 15:32

Acties:

+1 Henk 'm!

deathmonkey

Hier ook 'slachtoffer' van dit lek. Krijg ook sinds kort erg veel spam mailtjes, vraag me af of er een link is. De periode dat deze starten is ongeveer gelijk met wanneer dit lek is gebeurt.

Vraag me trouwens af of we er nog wat mee kunnen dat deze sollicitaties zo lang zijn bewaard.

donderdag 4 november 2021 20:31

Acties:

+1 Henk 'm!

digigast

Topicstarter

deathmonkey schreef op donderdag 4 november 2021 @ 15:32:
Hier ook 'slachtoffer' van dit lek. Krijg ook sinds kort erg veel spam mailtjes, vraag me af of er een link is. De periode dat deze starten is ongeveer gelijk met wanneer dit lek is gebeurt.

Vraag me trouwens af of we er nog wat mee kunnen dat deze sollicitaties zo lang zijn bewaard.

Als jouw data te lang bewaard is zou ik in ieder geval een melding maken bij de Autoriteit Persoonsgegevens. Bij de vraag "Gaat uw melding over een datalek?" moet je dan "NEE" kiezen, anders maak je melding van het datalek zelf. Je kunt er ook twee sturen naar de AP; eentje voor het feit dat ze je data te lang bewaren en eentje voor het datalek.

Helemaal als je data niet uitgelekt zou zijn geweest als het bedrijf de wet AVG niet overtreden had door de data te lang te bewaren lijkt mij melding bij de AP niet overdreven.

maandag 8 november 2021 14:25

Acties:

0 Henk 'm!

marapuru

db.

Fijn, daar gaan we weer. Het valt me op dat er op de website van homerun zelf niets te vinden is over dit datalek. Zijn zij niet verplicht hier een melding over te plaatsen?

maandag 8 november 2021 14:55

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

marapuru schreef op maandag 8 november 2021 @ 14:25:
Fijn, daar gaan we weer. Het valt me op dat er op de website van homerun zelf niets te vinden is over dit datalek. Zijn zij niet verplicht hier een melding over te plaatsen?

Nee. Ze zijn alleen verplicht het aan de AP te melden. Hoe en of ze het verder naar buiten brengen is de taak van PR

QnJhaGlld2FoaWV3YQ==

maandag 8 november 2021 16:02

Acties:

+2 Henk 'm!

KvR64

jurroen schreef op woensdag 3 november 2021 @ 19:33:
Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.

Ik weet helemaal niets van webservers maar is het dan voor een commercieel bedrijf teveel moeite om Apache 2.4.51 erop te zetten? Die is al op 7 oktober uitgebracht.

maandag 8 november 2021 18:50

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

KvR64 schreef op maandag 8 november 2021 @ 16:02:
[...]

Ik weet helemaal niets van webservers maar is het dan voor een commercieel bedrijf teveel moeite om Apache 2.4.51 erop te zetten? Die is al op 7 oktober uitgebracht.

We weten de details niet; dus alle discussie hierover is hypothetisch. Volgens het bericht dat Q42 heeft gestuurd zou Homerun op 29 oktober hun klanten hebben geïnformeerd over de situatie. Dat zegt helemaal niets over het verloop van het datalek. Het zou prima kunnen dat Homerun hun patchbeleid niet op orde heeft. Het andere uiterste is ook een optie: dat ze bijvoorbeeld gehackt zijn toen er nog geen patch was (dus 6 oktober of eerder).

Helaas is beveiliging nooit 100%. Een oganisatie kan er alles aan doen om de kans op een datalek, hack, ransomware of wat dan ook zo klein mogelijk te maken. Een aanvaller is altijd in het voordeel: deze hoeft maar één kwetsbaarheid of misconfiguratie te hebben - terwijl de verdedigende kant alle aspecten continu veilig dient te houden.

Begrijp mij echter niet verkeerd: dit vrijwaart niemand. Als een verkeerd of laks beleid heeft gezorgd voor dit datalek, mogen hier ook best forse consequenties aan verbonden worden.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 9 november 2021 10:35

Acties:

+1 Henk 'm!

MrMaxedTank

Dit lek heeft inmiddels ook het nationale nieuws gehaald: https://www.nu.nl/tech/61...in-handen-van-hacker.html

dinsdag 9 november 2021 10:44

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Drie kwartier later op Tweakers.

Wel met een vermelding van dit topic nieuws: Crimineel steelt 'honderdduizenden' cv's bij sollicitatieplatform Hom...

Exchange en Office 365 specialist. Mijn blog.

dinsdag 9 november 2021 11:43

Acties:

+1 Henk 'm!

marapuru

db.

Hmm, eerder een week later op Tweakers. Op 2 november maakte @digigast dit topic namelijk aan.

dinsdag 9 november 2021 12:11

Acties:

+3 Henk 'm!

jurroen

Security en privacy geek

Op de vraag aan Homerun waarom zij de bewaartermijn niet geforceerd beperken tot vier weken kreeg ik het volgende antwoord, zoals @F_J_K al aangaf:

We understand that the email you received may have caused you concern and we can confirm that we’ve recently discovered that some data within Homerun was compromised due to a cyberattack. We've notified our customers who have been affected by this.

To answer your question, it’s important to realize that we’re not the owner of our customers’ candidates’ data – in GDPR language, we are not the controller. Our customers are the controller. It’s ultimately up to our customers to delete their data in compliance with the GDPR. We are not able to decide this for them. However, within Homerun we’ve provided our customers with multiple ways (automatic and manual) they can delete candidate data according to their chosen data retention period.

En zojuist de volgende mail van de chef ontvangen:

Hello,

Willem here again, co-founder and CEO of Homerun. On October 29th, I contacted you or one of your team members about the cyberattack on Homerun and I promised to let you know when we had an update.

Since my last message, our team has been working around the clock doing everything in our power to do right by all customers and candidates whose data may have been affected.

The stolen data has not been made public to the best of our knowledge, and we do not expect this to happen as we've made an agreement with the cyber attacker. Our objective has been - and continues to be - to minimize the impact on you and your candidates.

What's new:
We completed the comprehensive forensic investigation alongside Northwave, the cyber security company we've been working with. This provided us with more details about the attack, the data that was affected and the measures we are implementing to keep this from happening in the future. The Q&A at the end of this email dives deeper into these findings.
We've been in touch with the DPA (Dutch Data Protection Authority - Autoriteit Persoonsgegevens) and notified them about the cyberattack and the affected data of which we are the controller. We've also filed a complaint with the police.
The DPA asked us to relay to our customers that you are advised to notify the DPA about the compromised data of which you are the controller (candidate data) and to inform your candidates of the cyberattack.
For more information on how to notify the DPA, have a look on their website or reach out to them directly by phone. If you decide to notify candidates, we've created a page where you can download the contact information of your candidates who were in your account at the time of the cyberattack. We've also created a dedicated page with more information and FAQ that you can share with your candidates directly.
Moving forward, we want to further support you in handling your candidate data with care. Over the years we've built features and written content that can help you do this: What GDPR means for hiring: Simply explained, How to be GDPR compliant with Homerun, The GDPR hiring guide and Help Center articles about Homerun and GDPR.
I co-founded Homerun 7 years ago because we wanted to improve the experience for candidates applying to jobs. A part of this has been making it easy for small companies to handle their candidate's data with care. We've always committed ourselves to privacy best practices. However, following this cyberattack, we see an opportunity to take an even more radical standpoint in this by embedding more privacy principles (for example, more opt-out and less opt-in privacy settings) and giving more control to job applicants over their data.

For any questions you might still have, please have a look at the Q&A below which contains what we've learned from our forensic investigation. Lastly, thanks for your support – it really means a lot to me and the entire Homerun team.

Willem van Roosmalen

CEO of Homerun

Q&A:

In collaboration with Northwave we’ve put together this Q&A that dives deeper into the findings of the comprehensive forensic investigation and provides answers to other questions you might have.

What was the nature of the cyberattack?

A cyber attacker accessed our systems on October 20th and made a copy of a number of files from our data storage. They were unable to delete or alter the data due to security measures we had in place. They simply copied it. We discovered this on the 26th and on the 28th the vulnerability was patched.

We host our infrastructure on Amazon Web Services. Part of this infrastructure includes running web servers using a popular software package called Apache HTTP Server. At the moment of the incident, a vulnerability existed in that particular software (CVE-2021-40438) that allowed an attacker to access internal AWS metadata and steal access tokens. Those tokens were used later on to access our data storage which contains the data categories listed in the next question.

What personal data can we confirm has been affected?

The data storage that was affected in the cyberattack contained the following data categories:
Candidate data: This includes any information that candidates have shared with you in job applications like CVs, portfolios, pictures, assignments and answers to your apply form questions. If the candidate data was deleted before the 13th of October, we can say for sure that it was not affected.
Job posts and career pages: These are or have already been public, but we mention them because they may include personal data like photos and names of your team. This also includes any private jobs you have published.
Profile images of Homerun users and team notes. Team notes have only been affected if you have requested a manual export via our support team of your account within the last 90 days before the cyberattack. This includes sensitive notes (notes that only certain users have access to).
We realize you may want to know more about what data of yours has been affected exactly, but the investigation was not able to provide us with more specificity than what we're sharing with you here.

We can still say with full certainty that your payment information like credit card details were not affected. Also, our systems were not affected by ransomware. Therefore, Homerun has been - and still is - up and running and safe for you to use.

According to the GDPR I need to notify the Dutch Data Protection Authority within 72 hours after being informed of the cyberattack. I'm too late, what do I do?

The 72 hours began when you received the first notification we sent you about the cyberattack. It's best to reach out to the Dutch Data Protection Authority or your legal adviser about what's best for you to do now.

How do I know which candidates may have been affected by this?

All the candidates present in the "All candidates" page that applied before the 20th of October, may have been affected in this cyberattack. You can create an export with the contact information of those candidates here.

What security measures were in place at the time of the attack?

Northwave often sees similar kinds of compromises. This is usually because settings are not configured correctly. In the case of Homerun, Northwave investigated the configuration settings and determined that they were configured to industry best practices. Northwave determined that the cyber attacker was never able to delete the data because the settings blocked that.

More generally, at Homerun we use AWS as a cloud infrastructure provider, with the following security measures implemented:
Everyone in our tech team must have activated MFA to be able to log into our management console.
Network services that provide access to the personal data are secured by firewalls with a default-deny setting.
Network transmissions of Personal Data are encrypted with Transport Layer Security.
All access to Personal Data is authenticated by a username and password or is secured by AWS key access.
What measures have been put in place to fix this issue?

Upon discovery, we immediately fixed the vulnerability by upgrading Apache HTTP Server software on all running servers. Northwave has checked and confirmed that this fix is effective against similar attacks.
toon volledige bericht

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 9 november 2021 13:21

Acties:

+1 Henk 'm!

ravenger

Ik heb em ook gekregen. Voor mij was het begin 2016, dus ruim 5,5 jaar geleden.

Van andere bedrijven waar ik via homerun heb moeten solliciteren heb ik nog niets gehoord overigens. Daarnaast zijn er ook bedrijven die homerun alleen als frontend gebruiken en een ander systeem om vacatures te verwerken, jammer is dat je daar dus totaal geen inzicht in hebt.

dinsdag 9 november 2021 13:55

Acties:

0 Henk 'm!

CHRlS

Ik heb 29 november ook een mail ontvangen dat mijn data is buit gemaakt. Was een bedrijf waar ik begin juli gesolliciteerd heb. En uiteindelijk na 3 sollicitatie rondes op 18 oktober ben afgewezen. Op zich wel logisch dat mijn gegevens toen nog in het systeem aanwezig waren.

dinsdag 9 november 2021 16:27

Acties:

0 Henk 'm!

Titus

Ik vraag me af of die 4 jaar nou op een misverstand berust is om eerlijk te zijn.

Homerun informeert klanten -> Klant informeert iedereen van wie ze ooit een sollicitatie hebben ontvangen (op basis van hun eigen excel/mailbox) dat er een lek is geweest.

Dat wil niet zeggen dat je sollicitatie van 4 jaar geleden nog in het systeem aanwezig waren ten tijden van de hack. De echte vraag is, kon de klant van Homerun jouw gegevens nog terugvinden in Homerun? Of hebben ze hun eigen shadowlist van alle sollicitaties ooit? OF werk je er nu nog steeds en hebben ze alleen hun werknemers gemaild

?

Veel unknowns, ik ben benieuwd!

dinsdag 9 november 2021 16:39

Acties:

+2 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Modbreak:Inmiddels weten we dat het lek bij leverancier Homerun zat, ik pas de titel dan ook even aan. (was Datalek bij sollicitatie Q42)

Dat laat onverlet dat het natuurlijk de verantwoordelijkheid van de eindklant is om data te verwijderen wanneer die niet meer nodig is.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 9 november 2021 17:34

Acties:

+1 Henk 'm!

Zwaai Haai

Ik heb van een bedrijf waar ik in juli 2017 gesolliciteerd heb een mail gekregen. Ik heb na juli 2017 toen ik afgewezen ben voor die functie geen contact meer gehad met dat bedrijf. Laten we het bedrijf XXXXXXXXXXXXX noemen.

Ik heb het bedrijf gemailed kortgezegd;

Ik het niet okee vind dat mijn gegevens 4 jaar bewaard zijn zonder mijn toestemming. En verzocht die alsnog te verwijderen.
Kwetsbaarheden niet patchen en data bewaren niet past bij de in de mail genoemde "privacy best practices and the security of your data” van het bedrijf
-Dat ik teleurgesteld ben in ze als data&media bedrijf, maar ze toch veel succes wens met de verdere afwikkeling en interne proces verbeteringen. Blijft voor 90% van de medewerkers van dat bedrijf natuurlijk echt balen en iets waar alleen de CEO, HR en de security officer iets aan kon doen.

Ik heb behalve deze e-mail nog geen spam gekregen op het in de verstuurde CV e-mail adres. Ik heb veel aparte adressen XXXXXX@eigendomein.nl die via een catch all in principe allemaal binnenkomen tot ik ze blokkeer. Deze staat nu wel op mijn lijst van adressen met 'extra aandacht" maar nog niet op blokkeren om dit in de gaten te kunnen houden.

[i]Van: Privacy | XXXXXXXXXXXXX <privacy@XXXXXXXXXXXXX.com>
Verzonden: dinsdag 9 november 2021 14:18
Onderwerp: Information about a recent cyberattack on XXXXXXXXXXXXX’s recruitment portal

Hello,

We’re contacting you because you previously applied for a job at XXXXXXXXXXXXX using our recruitment portal serviced by Homerun that was recently affected by a cyberattack.

Homerun provides an online platform that aims to make applying for a job easier and enable organizations like XXXXXXXXXXXXX to better organize vacancies, review applications and plan interviews in one environment.

Unfortunately Homerun was recently the victim of a cyberattack which caused data of all their customers to be exposed to a cyber attacker. This data included files with candidate information that candidates have shared in their job applications.

This affected all the customers of Homerun worldwide (1500+ organizations). We have no reason to believe the data of XXXXXXXXXXXXX’s applicants were specifically targeted.

Was my personal data accessed?
We do not know for certain, but all the candidates data that was present in our Homerun account and that applied before the 20th of October 2021 may have been affected.

What type of data may have been accessed?
Any information you submitted with an application. Usually this includes your name, email, phone number, social media links, resume and application answers.

What security measures have been taken?
Homerun fixed this vulnerability within 48 hours alongside cybersecurity experts Northwave, and the cyber attacker no longer has access to the data. Homerun and Northwave have also gone to great lengths to ensure that the stolen data was not made public and reached an agreement with the attacker to delete the stolen data, so they do not expect this to happen.

The attack has also been reported to the Dutch Data Protection Authority (DPA) by ourselves as well as Homerun, who also reported this to the Dutch Police.

Where can I find more info?
For more information and FAQs about the attack, see Homerun’s dedicated page:
https://www.homerun.co/cyberattack

XXXXXXXXXXXXX remains committed to providing a good recruitment experience, privacy best practices and the security of your data. If you have any questions for us or you no longer wish your data to be kept in our recruitment system, please email privacy@XXXXXXXXXXXXX.com.

Kind regards,
XXXXXXXXXXXXX

WEBSITE XXXXXXXXXXXXX.com
FOLLOW Facebook / Twitter / Instagram / LinkedIn

toon volledige bericht

dinsdag 9 november 2021 17:42

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Hey, die link hadden we volgens mij nog niet gezien: https://www.homerun.co/cyberattack

Should I be worried if I've been informed that my job application data has been affected in this cyberattack?
There's no reason to believe that this cyberattack will lead to phishing attempts being targeted at anyone whose data was affected.

Ik zou niet weten waarom je je daar niet zorgen over zou hoeven maken? Als de data daadwerkelijk verspreid wordt bevat het hele waardevolle informatie om gerichte aanvallen te doen.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 9 november 2021 17:50

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Jazzy schreef op dinsdag 9 november 2021 @ 17:42:
Hey, die link hadden we volgens mij nog niet gezien: https://www.homerun.co/cyberattack

[...]

Ik zou niet weten waarom je je daar niet zorgen over zou hoeven maken? Als de data daadwerkelijk verspreid wordt bevat het hele waardevolle informatie om gerichte aanvallen te doen.

Inderdaad biedt juist zoiets risico's daartoe... Specifiek, goede redenen om relatief snel te klikken, etc.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 9 november 2021 17:56

Acties:

0 Henk 'm!

digigast

Topicstarter

Titus schreef op dinsdag 9 november 2021 @ 16:27:
Ik vraag me af of die 4 jaar nou op een misverstand berust is om eerlijk te zijn.

Homerun informeert klanten -> Klant informeert iedereen van wie ze ooit een sollicitatie hebben ontvangen (op basis van hun eigen excel/mailbox) dat er een lek is geweest.

Dat wil niet zeggen dat je sollicitatie van 4 jaar geleden nog in het systeem aanwezig waren ten tijden van de hack. De echte vraag is, kon de klant van Homerun jouw gegevens nog terugvinden in Homerun? Of hebben ze hun eigen shadowlist van alle sollicitaties ooit? OF werk je er nu nog steeds en hebben ze alleen hun werknemers gemaild ?

Veel unknowns, ik ben benieuwd!

Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.

dinsdag 9 november 2021 18:05

Acties:

+1 Henk 'm!

Katie80

Ik vind het echt zorgelijk dat meerdere organisaties de gegevens zo lang bewaren.
En ze komen er nog makkelijk mee weg ook ...

Het zou inderdaad mooi zijn als je als kandidaat gewoon zelf je files kunt deleten na je sollicitatie. Dan heb je zelf ook controle over je gegevens die rond zwerven.

dinsdag 9 november 2021 18:22

Acties:

+1 Henk 'm!

poor Leno

Ik kreeg dezelfde mail gister

Maar ik had daar allang niet meer gesollicteerd.. terwijl ik een hele tijd geleden van hetzelfde bedrijf een bericht had gekregen dat ze m'n gegevens gingen wissen ivm Privacyregels en dat als ik wilde dat ze ze zouden behouden, dat ik dat moest aangeven..
Dat heb ik niet gedaan..

Maar kennelijk zijn mijn gegevens bij Homerun dus wel te lang bewaard

Edit: Kan Homerun eigenlijk voor deze grove nalatigheid eigenlijk op een bepaalde manier verantwoordelijk worden gesteld? Niet qua schadevergoeding oid, maar dit mag niet 'ongestraft' voorbij gaan.. Ik vind dit eigenlijk echt niet ok..

(ps: Sorry, maar ik haat echt dit soort teringlijers die met hun poten niet van andermans spullen kunnen afblijven omdat ze zelf te beroerd zijn om gewoon te werken voor hun geld

)

[ Voor 16% gewijzigd door poor Leno op 09-11-2021 18:29 ]

dinsdag 9 november 2021 19:16

Acties:

+2 Henk 'm!

jo_1

Vandaag kreeg ik ook een mail van “Amac” dat mijn gegevens ten eerste ook te lang bewaard zijn gebleven en inderdaad bij Homerun. Bsn weet niet wat er verzameld is. Krijg daar geen duidelijkheid over.

Ongeveer 2 jaar geleden daar sollicitatie achtergelaten en nooit meer een reactie gehad tot deze mail.

Echt een schandalig slechte service en vind zeker dat hiervoor opgedraaid moet worden.

Edit: uiteraard heeft de klantenservice nu ook toevallig een storing.

[ Voor 8% gewijzigd door jo_1 op 09-11-2021 19:22 ]

dinsdag 9 november 2021 21:53

Acties:

0 Henk 'm!

RoestVrijStaal

Hier ook een "slachtoffer" die ongeveer een jaar geleden gesolliciteerd heeft bij een bedrijf dat Homerun gebruik(te). Maar ik weet zeker dat ik ooit bij meerdere bedrijven heb gesolliciteerd die Homerun gebruik(t)en.

Het grootste probleem is dat sollicitanten zelf geen klant zijn van Homerun, maar de bedrijven waar de sollicitanten solliciteerden. Ondanks dat er (persoonlijke) informatie van de sollicitanten wordt gebruikt. Dat Homerun reageert op gedupeerde (ex)sollicitanten is enkel PR-building.

Zie het als een huisbaas die voor onderhoud een klusjesman inhuurt om de luchtfilters te vervangen. Die klusjesman heeft geen boodschap aan of de bewoners er wel of niet mee eens zijn dat die nu komt en de boel op stelten zet.

Onderaan de streep is het "Foutje, bedankt".

Sowieso snap ik niet waarom je complete CV's e.d. wilt bewaren van sollicitanten.
Als je een sollicitant hebt aangenomen, is zijn CV al niet meer up to date.
En ik geloof niet dat afgewezen sollicitanten graag aan de slag willen bij bedrijven waar ze in het verleden bij de sollicitatie zijn afgewezen.

[ Voor 4% gewijzigd door RoestVrijStaal op 09-11-2021 22:00 ]

dinsdag 9 november 2021 23:27

Acties:

0 Henk 'm!

Titus

digigast schreef op dinsdag 9 november 2021 @ 17:56:
[...]

Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.

Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?

woensdag 10 november 2021 09:57

Acties:

+2 Henk 'm!

Zwaai Haai

RoestVrijStaal schreef op dinsdag 9 november 2021 @ 21:53:
Onderaan de streep is het "Foutje, bedankt".

Ja dat, foutje bedankt, en tot nooit. En jij en ik zitten met de last van fraude en phishing. Als je hier een zaak van wil maken zal je moeten aantonen dat je hier schade van hebt, en dat die schade veroorzaakt is door de tegenpartij. Ik zie niet zo goed hoe je nalatigheid of onbeschoft gedrag als persoon juridisch zou kunnen aanpakken. Volgens mij zou de AP de meest kansrijke route zijn om een dergelijk bedrijf aan te pakken.
Dat levert de mensen hier niets op, die zitten nog steeds met de ellende. Enige is dat hoge boetes en imagoschade mogelijk de budgetten voor Privacy maatregelen bij bedrijven wat opschroeft.

woensdag 10 november 2021 11:15

Acties:

0 Henk 'm!

RoestVrijStaal

Titus schreef op dinsdag 9 november 2021 @ 23:27:
[...]

Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?

Daar is gemakkelijk ervan uit te gaan dat die data sowieso gelekt was.

Bij een CV is het de norm dat personalia (= voornaam en achternaam, adres, telefoonnummer, email-adres, geboortedatum, evt. rijbewijs, evt. sociale media) opgenomen zijn.
Je CV is je visitekaartje om jezelf te verkopen en te laten zien wie jij bent.

woensdag 10 november 2021 23:41

Acties:

+1 Henk 'm!

Katie80

Titus schreef op dinsdag 9 november 2021 @ 23:27:
[...]

Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?

@digigast heeft de e-mail gepost waaruit blijkt dat het bedrijf waar hij gesolliciteerd heeft het aan hem heeft gemeld. En het datalek zat in homerun, daar stond de data ook in aldus de e-mail.

Als je wilt weten wat voor informatie er is opgeslagen kan je dat altijd bij het bedrijf waar je hebt gesolliciteerd opvragen. Je hebt namelijk recht op inzage.

dinsdag 16 november 2021 20:44

Acties:

+2 Henk 'm!

ravenger

Van andere bedrijven waar ik via homerun heb moeten solliciteren heb ik nog niets gehoord overigens.

Nou, de volgende mail. Ook begin 2016 🙈

Beste,

We willen je graag informeren over een recente cyberaanval op Homerun, waarbij persoonsgegevens betrokken zijn.

Wat is er gebeurd?
Als een voormalig sollicitant sta je geregistreerd in de tool die we voor recruitment gebruiken, genaamd Homerun.

Een criminele hacker kreeg op 20 oktober toegang tot Homerun en kopieerde bestanden uit Homeruns gegevensopslag. Homerun ontdekte de aanval op 26 oktober. Samen met extern cyberveiligheidsbedrijf Northwave lukte het Homerun op 28 oktober om de kwetsbaarheid in het systeem te vinden en te dichten zodat de hacker geen toegang meer had tot de gegevensopslag. Homerun bereikte daarna een overeenkomst met de hacker om de gekopieerde data veilig te stellen. De hacker heeft bevestigd dat alle gekopieerde gegevens zijn vernietigd en niet publiek zijn gemaakt. Er is geen indicatie dat de gegevens publiek zijn gemaakt en we verwachten niet dat dit alsnog gebeurt.

We nemen aan dat jouw gegevens bij het datalek betrokken zijn.

Welke persoonsgegevens waren bij dit incident betrokken?
Je naam, contactinformatie (adres, e-mailadres en telefoonnummer), CV en/of sollicitatiebrief zijn gegevens die in het Homerun-systeem opgeslagen waren.

Waarom heeft Homerun deze gegevens van jou?
Toen je in het verleden solliciteerde op een baan bij Blendle werden je persoonsgegevens opgeslagen in het systeem van Homerun.

Wat heeft Blendle gedaan?
We hebben het lek gerapporteerd bij de Autoriteit Persoonsgegevens.
We hebben ons databeleid inzake sollicitanten aangescherpt en gaan de bewaartermijn van gegevens aanzienlijk verkorten, afhankelijk van of je bent aangenomen of niet.
Wil je meer weten?
Voor meer informatie over het datalek verwijzen we je graag door naar de website van Homerun.

Je kunt met ons contact opnemen via privacy@blendle.com als je vragen of suggesties voor ons hebt.

We willen hierbij onze excuses aanbieden voor dit voorval. Veiligheid van persoonsgegevens staat bij ons hoog in het vaandel en we blijven er alles aan doen om die gegevens te beschermen tegen toekomstige aanvallen.

Met vriendelijke groet,

Blendle
toon volledige bericht

vrijdag 26 november 2021 10:00

Acties:

+1 Henk 'm!

Sluuz

En hier ook. Half 2017 gesolliciteerd en op gesprek geweest. En dus mail gekregen. Daarin werd het volgende gemeld:

As an applicant for a job at [bedrijf] in the last 24 months, we regret to inform you that in this cyber incident your personal information has been obtained by a third party without authorization.

Dat klopt natuurlijk niet echt als het al meer dan 48 maanden geleden is geweest. Dus mailtje gestuurd en toen kwam dit antwoord:

We are very sad to have to share this news and that we take protection your personal information. Unfortunately a service provider we used to store your personal information has had a data leak, which was out of our control.

During our assessment of the situation we found out that Homerun provided certain settings, which would delete applicant’s personal information after the legal data storage period ended. This feature was introduced in 2019 and only applied on applicants going forward. This meant that if you applied before that period, your data was still wrongly stored. We were not aware of this.

We have taken all efforts to fix this going forward and in addition to delete your personal information.

Lekker vinger wijzen allemaal.

PSN: Sluuz