Nota importante: o agente malicioso não conseguiu obter acesso a nenhum sistema da cside. Este post serve exclusivamente como um alerta para outros fundadores de startups e empregadores.
Ao abrir uma vaga para Engenheiro Full-Stack Sênior, ficamos bastante animados ao receber rapidamente algumas centenas de currículos com perfis promissores.
Passei algumas horas selecionando os perfis mais relevantes e enviei uma avaliação técnica pelo Coderbyte. Vários candidatos devolveram a tarefa rapidamente com resultados razoáveis, então avançamos para uma entrevista para discutir o código que havia sido escrito.
Ao entrar na chamada, algumas coisas chamaram minha atenção.
- O candidato em questão tinha o nome mais americano e inventado que se possa imaginar. No estilo "Tommy Jackson".
- O candidato tinha um ruído de fundo parecido com o de um call center.
- O inglês do candidato era péssimo e ele apresentava características étnicas claramente associadas à nacionalidade coreana.
- O candidato dava respostas que soavam muito ensaiadas.
Tendo aprendido sobre viés inconsciente no recrutamento, achei que não era nada — mas depois de ter de 3 a 4 conversas quase idênticas, fiquei curioso e enviei esses candidatos para verificação de identidade por meio de um serviço terceirizado. Para minha surpresa, eles passaram.
Então consultei um colega fundador para entender o que estava acontecendo. Logo depois, foram compartilhadas informações sobre empresas como a KnowBe4 que haviam contratado essas pessoas e sofrido consequências graves de imediato.
Você esperaria que as tentativas norte-coreanas de se infiltrar em empresas fossem de conhecimento geral, mas não era o caso.
O que enfrentamos foram tentativas organizadas e altamente profissionais de se infiltrar no nosso negócio.
Por isso, entrei em contato com um ex-fundador colega, Bobbie Johnson, para investigar essa operação com muito mais profundidade e encontrar uma forma de torná-la mais conhecida. Hoje, o artigo completo na Wired foi publicado com detalhes aprofundados sobre as operações locais do esquema.
Durante o processo de contratação, como fundador solo, fui ficando cada vez mais frustrado com o tempo desperdiçado triando currículos para filtrar atores norte-coreanos.
Primeiro, pedi ao nosso amigo Feross, da Socket, se eu poderia usar o projeto AnnoyingSite dele para irritar os atores norte-coreanos e incentivá-los a se candidatar em outro lugar. Fizemos isso e me deu uma certa satisfação, confira a "avaliação para fazer em casa" aqui. Mas não resolveu o problema…
Então caiu a ficha: eu dirijo uma empresa de segurança client-side. Então, naturalmente, deveria usar nossa inteligência client-side para identificar padrões e filtrar esse ruído na origem. Para aprimorar a triagem de candidatos, começamos a usar fingerprinting de dispositivos como forma de detectar proativamente padrões suspeitos associados a candidatos fraudulentos.
Por isso, hoje anunciamos nosso serviço de detecção de fraude em candidaturas para um BETA fechado inicial. Nosso software leve de detecção de fraude oferece uma solução de prevenção personalizada especificamente para a triagem de candidatos.
Permitindo que fundadores de startups e recrutadores dediquem seu tempo à triagem de currículos de candidatos legítimos.
