Populiari Indijos užimtumo svetainė „Naukri.com“ ištaisė klaidą, atskleidusį įdarbintojų el. Pašto adresus, naudojančius jos platformą ieškant ir samdyti talentus internete.
Problema, kurią atrado saugos tyrinėtojas Lohith Gowda, paveikė API, kurią „Naukri“ naudojo savo „Android“ ir „iOS“ programose. API atskleidė darbdavių, lankančių potencialių kandidatų, el. Pašto adresus Naukri platformoje. Atrodė, kad ši problema neturėjo įtakos bendrovės svetainei.
„Atsidarius įdarbintojo el. Pašto adresus gali būti naudojami tikslinėms sukčiavimo apsimestinėms atakoms, o darbdaviai gali gauti per daug neprašytų el. Laiškų ir šlamšto“, – „TechCrunch“ pasakojo Gowda.
Jis pridūrė, kad eksponuojami el. Pašto ID gali būti įtrauktos į viešų pažeidimų duomenų bazes ar šlamšto sąrašus, o masinio el. Pašto adresų grandymas gali sukelti automatinį piktnaudžiavimą botu ar sukčiavimais.
„TechCrunch“ patikrino ekspoziciją po to, kai tyrėjas pasidalino informacija apie klaidą. Tyrėjas „TechCrunch“ patvirtino, kad problema buvo išspręsta anksčiau šią savaitę, kurią Naukri patvirtino penktadienį.
„Visi nustatyti patobulinimai yra įgyvendinami, užtikrinant, kad mūsų sistemos išliks atnaujintos ir atsparios“, – „TechCrunch Over Over Eder Email“ pasakojo Alok Vij, IT infrastruktūros „Naukri“ patronuojančios įmonės „InfeEdge“ vadovas. „Mūsų komandos nenustatė jokios įprastos veiklos, turinčios įtakos vartotojo duomenų vientisumui“.
Įkurta 1997 m. Kovo mėn., Naukri.com yra aukščiausia Indijos klasifikuota įdarbinimo svetainė, padedanti sujungti įdarbintojus, darbdavius ir ieškančius darbo. Be Indijos, svetainė egzistuoja Viduriniuose Rytuose kaip naukrigulf.com.
„Tam tikros mūsų įdarbintojo profilių funkcijos yra sukurtos viešai, kad vartotojai galėtų sužinoti, kas turi prieigą prie savo profilio (-ų). Mes atliekame reguliarius auditus ir saugumo vertinimus“, – sakė VIJ.
