Популярный индийский сайт по трудоустройству Naukri.com [https://www.naukri.com/] исправил ошибку, из-за которой раскрывались электронные адреса рекрутеров, использующих платформу для поиска и найма специалистов онлайн.
Проблема, обнаруженная исследователем безопасности Лохитом Говдой, затрагивала API, используемое Naukri в приложениях для Android и iOS. Через этот интерфейс становились доступны адреса электронной почты рекрутеров, которые просматривали профили потенциальных кандидатов на платформе. Судя по всему, сайт компании не пострадал от этой уязвимости.
«Раскрытые адреса электронной почты рекрутеров могут быть использованы для целевых фишинговых атак, а сами рекрутеры могут получать чрезмерное количество нежелательных писем и спама», — заявил Говда изданию TechCrunch. Он также отметил, что такие данные могут попасть в публичные базы утечек или списки для спама, а массовый сбор адресов способен привести к автоматизированным атакам ботов или мошенническим схемам.
TechCrunch подтвердил факт утечки после того, как исследователь предоставил детали об ошибке. Говда сообщил, что проблема была устранена на этой неделе, что в пятницу подтвердили представители Naukri.
«Все выявленные улучшения внедрены, что гарантирует актуальность и устойчивость наших систем, — написал по электронной почте Алок Видж, глава IT-инфраструктуры материнской компании InfoEdge. — Наши команды не обнаружили подозрительной активности, которая могла бы повлиять на целостность данных пользователей».
Основанный в марте 1997 года Naukri.com является ведущим индийским сайтом по поиску работы, который помогает связывать рекрутеров, работодателей и соискателей. Помимо Индии, платформа работает на Ближнем Востоке под названием Naukrigulf.com.
«Некоторые функции профилей рекрутеров изначально публичны, чтобы пользователи видели, кто имеет доступ к их данным. Мы регулярно проводим аудиты и проверки безопасности», — добавил Видж.