O Naukri.com, um proeminente portal de emprego indiano, corrigiu recentemente uma vulnerabilidade de segurança que colocava em risco os endereços de email dos recrutadores que utilizam a sua plataforma. A falha, descoberta pelo investigador de segurança Lohith Gowda, já foi entretanto resolvida pela empresa.
A vulnerabilidade na API das aplicações móveis
O problema residia especificamente na API (Interface de Programação de Aplicações) que o Naukri.com utiliza nas suas aplicações para dispositivos Android e iOS. Segundo o investigador, esta API expunha os endereços de email dos recrutadores sempre que estes visitavam perfis de potenciais candidatos através das referidas aplicações móveis. Importa salientar que a versão web do portal não parece ter sido afetada por esta brecha.
Riscos significativos para os recrutadores
Lohith Gowda, em declarações ao TechCrunch, alertou para as consequências desta exposição: "Os IDs de email dos recrutadores expostos podem ser usados para ataques de phishing direcionados, e os recrutadores podem receber emails não solicitados e spam em excesso". O especialista acrescentou ainda que os endereços de email comprometidos poderiam ser adicionados a bases de dados públicas de violações de segurança ou a listas de spam.
Adicionalmente, a recolha massiva destes emails poderia facilitar abusos por parte de bots automatizados ou a execução de outras fraudes.
Correção confirmada e resposta da empresa
O TechCrunch conseguiu verificar a existência da vulnerabilidade após Lohith Gowda ter partilhado os pormenores técnicos da mesma. O investigador confirmou posteriormente ao meio de comunicação que a falha foi corrigida no início desta semana, uma informação que a Naukri corroborou na passada sexta-feira.
Alok Vij, responsável pela infraestrutura de TI na InfoEdge, a empresa-mãe do Naukri.com, assegurou ao TechCrunch através de um email: "Todas as melhorias identificadas foram implementadas, garantindo que os nossos sistemas permanecem atualizados e resilientes". Vij afirmou também que "as nossas equipas não detetaram qualquer atividade invulgar que afete a integridade dos dados dos utilizadores".
Sobre o Naukri.com
Fundado em março de 1997, o Naukri.com estabeleceu-se como o principal website de classificados de recrutamento na Índia, funcionando como um elo de ligação crucial entre recrutadores, entidades empregadoras e candidatos a oportunidades de emprego. Para além do mercado indiano, a plataforma tem também presença no Médio Oriente, onde opera sob a marca Naukrigulf.com.
Em relação às práticas de divulgação de informação, Alok Vij referiu: "Certas funcionalidades dos perfis dos nossos recrutadores são desenhadas para serem públicas para permitir que os utilizadores saibam quem tem acesso ao(s) seu(s) perfil(s). Realizamos auditorias regulares e avaliações de segurança".
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech