top of page
Fondo Negro Logo.png
3GC Logo Girable.png

3GC Blog

Software de Reclutamiento Expone Casi 26 Millones de Currículums

TalentHook, una plataforma en la nube utilizada para el seguimiento de candidatos, dejó expuesta una instancia mal configurada. Esto provocó la filtración de decenas de millones de currículums de personas que buscan empleo, con datos personales que incluyen desde nombres completos hasta direcciones particulares.


CVs Exposed

Reemprender una carrera profesional puede traer consigo problemas mucho más serios que un simple "no". El equipo de investigación de Cybernews descubrió un contenedor de almacenamiento en Azure mal configurado que contenía cerca de 26 millones de archivos, en su mayoría CVs de postulantes en Estados Unidos.


Según los investigadores, la fuente de esta exposición sería TalentHook, una empresa desarrolladora de software de gestión de candidatos que facilita la conexión entre departamentos de recursos humanos y quienes están buscando trabajo. TalentHook es propiedad de Resource Edge, una compañía de soluciones tecnológicas con sede en Nevada.


Cybernews contactó a la empresa para solicitar comentarios y actualizará el artículo si recibe una respuesta.


“La información personal detallada presente en los currículums expuestos puede ser utilizada por ciberdelincuentes para lanzar campañas de phishing altamente dirigidas. Con direcciones de correo y teléfonos a disposición, pueden enviar correos falsos, mensajes de texto engañosos o incluso ofertas laborales fraudulentas, con el objetivo de obtener datos sensibles como escaneos de documentos de identidad o información bancaria”, explicaron los investigadores.

¿Qué datos de los 26 millones de CVs quedaron expuestos?


La gran mayoría de los archivos filtrados eran currículums, por lo tanto, incluían la información típica que cualquier persona suele compartir al buscar empleo, como:


  • Nombres completos

  • Correos electrónicos

  • Números de teléfono

  • Nivel educativo

  • Experiencia laboral

  • Historial de empleos


Esta filtración representa un riesgo serio: los datos podrían ser utilizados para robo de identidad, fraudes o suplantación de identidad. Incluso, los atacantes podrían hacerse pasar por reclutadores o responsables de selección, solicitando pagos por supuestos procesos de selección, chequeos de antecedentes o cursos de capacitación que en realidad no existen.


Ejemplo de datos expuestos
Ejemplo de la información descubierta.

Además, la exposición de datos personales como direcciones particulares y números de teléfono aumenta significativamente el riesgo de "doxxing", una práctica en la que se publican datos privados de personas en internet sin su consentimiento. En los casos más extremos, esto puede derivar en acoso, amenazas o intimidación por parte de actores maliciosos hacia quienes han sufrido la filtración.

Para mitigar este incidente, el equipo de investigación sugiere que TalentHook tome las siguientes medidas:


  • Modificar los controles de acceso para restringir el acceso público y asegurar el contenedor.

  • Actualizar los permisos para que solo usuarios o servicios autorizados tengan acceso a los datos.

  • Revisar los registros de acceso retrospectivamente para determinar si actores no autorizados accedieron a la información.

  • Habilitar el cifrado del lado del servidor para proteger los datos almacenados.

  • Utilizar Microsoft Azure Key Vault para una gestión segura de las claves de cifrado.

  • Aplicar buenas prácticas de seguridad, incluyendo auditorías regulares, controles automatizados y capacitación para el personal.


Cronología del hallazgo:


  • Fecha del descubrimiento de la filtración: 7 de enero de 2025

  • Divulgación inicial a la empresa: 2 de abril de 2025

  • Notificación a CISA (Agencia de Ciberseguridad e Infraestructura de EE.UU.): 9 de abril de 2025

  • Notificación a CERT (Equipo de Respuesta ante Emergencias Informáticas): 13 de mayo de 2025


SEO: "Software de reclutamiento expone casi 26 millones de currículums"

Comentarios

bottom of page