Популярный индийский сайт по трудоустройству Naukri.com исправил ошибку, которая раскрывала адреса электронной почты рекрутеров.
Проблему обнаружил исследователь безопасности Лохит Гоуда. Она затронула API, который Naukri использовал в своих приложениях для Android и iOS. API раскрывал адреса электронной почты рекрутеров, посещающих профили потенциальных кандидатов на платформе. Проблема, по-видимому, не затронула веб-сайт компании.
«Раскрытые идентификаторы электронной почты рекрутеров могут использоваться для целевых фишинговых атак, и те могут получать чрезмерное количество нежелательных писем и спама», — сказал Гоуда.
Он добавил, что эти идентификаторы могут быть добавлены в общедоступные базы данных или списки спама, а массовый сбор адресов электронной почты может привести к автоматизированному злоупотреблению или мошенничеству.
«Все улучшения реализованы, и это гарантирует, что наши системы остаются устойчивыми. Наши команды не обнаружили никакой обычной активности, которая влияет на целостность пользовательских данных», — сообщил представитель компании Алок Видж. По его словам, «некоторые функции профилей рекрутеров разработаны так, чтобы быть общедоступными, а пользователи могли знать, кто имеет доступ к их профилю».
Основанный в марте 1997 года, Naukri.com является ведущим сайтом по подбору персонала в Индии. Он также работает на Ближнем Востоке под названием Naukrigulf.com.
Источник: habr.com