Jan 13, 2022

Homerun Breach

Hovedårsak

Homerun, tjenesten vi bruker i forbindelse med rekruttering og håndtering av jobbsøknader, avdekket et datainnbrudd i deres systemer. I forbindelse med innbruddet har personopplysninger om kandidater som har søkt jobber i Orbit kommet på avveie.

Tidslinje

20. Oktober 2021 - En ukjent tredjepart får tilgang til Homerun sine systemer på ulovlig vis
26. Oktober 2021- Homerun avdekker et datainnbrudd i sine systemer
28. Oktober 2021 - Homerun patcher sikkerhetshullet i sine systemer
29. Oktober 2021 08:05 - Orbits personvernombud mottar henvendelse fra Homerun om datainnbrudd i deres systemer
29. Oktober 2021 09:44 - Orbits personvernombud informer ledergruppen om hendelsen og iverksetter en internundersøkelse om hendelsen
29. Oktober 2021 09:51 - Orbit spør Homerun om fler detaljer om datainnbruddet, inkludert hvorvidt spesifikke sensitive opplysninger om søkere også var en del av personopplysninger som har kommet på avveie.
29. Oktober 2021 12:02 - Homerun svarer Orbit med mer detaljer rundt innbruddet
2. November 2021 18:00 - Orbit bekrefter antall berørte individer og starter arbeidet med å orientere disse
3. November 2021 15:00 - Orbit sletter all data om alle søkere som ikke er under eksisterende prosesser med selskapet
3. November 2021- Berørte søkere informert om hendelsen
3. November 2021 - Styret og eiere i Orbit Technology informert

Når og hvordan ble avviket oppdaget

Fredag 29. Oktober 2021, fikk vi denne henvendelse fra Homerun via epost:
In the morning of October 26th, 2021 we discovered that an unknown third party was able toaccess and obtain data of our customers containing files with candidate information such as CVs. We immediately engaged an external cybersecurity company. We were able to figure out how this breach occurred and as of yesterday morning, we made the necessary fixes to resolve the issue. We are still in the process of investigating how much of your data might have been compromised.

These are the categories of personal data we know have been compromised:

  • Candidate data: This includes any information that candidates have shared with you in job applications like CVs, portfolios, pictures, assignments and answers to your apply form questions.
  • Job posts and career pages: These are or have already been public, but we mention them because they may include personal data like photos and names of your team. This also includes any private jobs you have published.
  • Profile images of Homerun users and team notes.

It’s important to know that this compromised data has not been made public. We have been working together with a renowned cybersecurity company to do everything within our power to avoid the data ever being made public.

This is the data that we know has not been compromised

We can say with full certainty that your payment information like credit card details has not been compromised. Also, our systems have not been affected by ransomware. Therefore, Homerun
has been - and still is - up and running and safe for you to use. This is what we’ve done to fix this As soon as we discovered this cyberattack, we immediately engaged a renowned cybersecurity company. Alongside this team of forensic security experts, we initiated a comprehensive forensic investigation to understand how the cyberattack occurred. As of yesterday morning, we have discovered the vulnerability and made the necessary fixes. This means that your data is no longer accessible by the unknown third party. We are still in the process of investigating how much of your data might have been compromised.

Antall berørte personer: 292 individer

Beskrivelse av hva slags type personopplysninger som ble berørt

Personopplysninger som er innhentet av offentlige profiler på Linkedin, personopplysninger som individer selv har gitt oss via Homerun i forbindelse med søknader. Dette inkluderer også all informasjon som kandidater har delt med oss ifm jobbsøknader som CVer, porteføljer, bilder, oppgaver og svar på spørsmålene i søknadsskjemaet.

Hvilken relasjon virksomheten har til de berørte personene

De berørte personene er jobbsøkere eller personer vi har headhuntet til Orbit. Det gjelder også personer som er ansatt i Orbit via Homerun.

Beskrivelse av hvor personopplysningene befinner seg etter avviket

Det finnes ingen informasjon om hvem som har fått ulovlig tilgang til og hvor disse personopplysningene er idag. Homerun jobber fortsatt med å avdekke hvem som stjal denne informasjonen og hvor dataen har tatt veien. Det de vet er at dataen fra innbruddet ikke er blitt delt noen offentlig sted. Dette er deres svar:

Konsekvenser

For berørte arbeidssøkere er konsekvensen at deres personopplysninger og opplysninger tilknyttet deres søknader hos Orbit er blitt stjålet av en ukjent tredjepart.

Tiltak

Vi har etter beste evne kartlagt og analysert årsaken som medførte at avviket fant sted. Vi kommer også til å foreta en ny risikoanalyse av Homerun som tjeneste og evaluere om de har nødvendige sikkerhetsmekanismer på plass for å beskytte informasjon om søkere til Orbit.

Vi har også gjennomgått våre rutiner for lagring av personopplysninger relatert til søkere og endret hvor lenge data om søkere er lagret i systemet fra 12 måneder til 3 måneder for å minimere lagring og tilgjengelighet til disse dataene. Det vil si at all data blir slettet 3 måneder etter siste kommunikasjonspunkt mellom Orbit og søkere. Samtidig vil alle som blir ansatt i Orbit få sine søkerprofiler slettet med en gang de har startet.

Som et resultat av dette innbruddet og tiltakene vi har tatt, med mindre en eksisterende søker har en pågående ansettelsesprosess med Orbit, ble alle data om alle søknader per dags dato

We have been working with a renowned cybersecurity company called Northwave. Together we came to an agreement with the unknown third party. The team at Northwave have informed us that they have not experienced hackers leaking information after reaching an agreement with the affected company. And no, we have not been able to identify the unknown third party. Nye jobsøknader vil bli påvirket av de nye oppbevaringsretningslinjene beskrevet ovenfor.

Informasjon

Et informasjonsskriv om dette innbruddet vil bli sendt til alle berørte søkere. Denne vil inkludere en beskrivelse av hva som er skjedd og tiltakene som er og vil bli gjort.

Kontaktinformasjon

Orbit Technology AS
Firma nr. 924 790 547
Dokkveien 11, 3920 Porsgrunn, Norge Telefonnummer: +47 977 00 080

Orbits administrerende direktør, Wasim Rashid, har det daglige ansvaret for å oppfylle selskapets forpliktelser i henhold til personvernreglene.

Orbits personvernombud kan kontaktes på privacy@getorbit.com