Naukri hat E-Mail-Adressen von Anwerbern offengelegt, sagt ein Forscher

Naukri.com , eine beliebte indische Jobbörse, hat einen Fehler behoben, der die E-Mail-Adressen von Personalvermittlern offenlegte, die ihre Plattform nutzten, um online nach Talenten zu suchen und sie einzustellen.

Das vom Sicherheitsforscher Lohith Gowda entdeckte Problem betraf die API, die Naukri für seine Android- und iOS-Apps verwendete. Die API legte die E-Mail-Adressen von Personalvermittlern offen, die Profile potenzieller Kandidaten auf der Naukri-Plattform besuchten. Die Website des Unternehmens schien das Problem nicht zu betreffen.

„Die offengelegten E-Mail-IDs der Personalvermittler können für gezielte Phishing-Angriffe verwendet werden und die Personalvermittler erhalten möglicherweise übermäßig viele unerwünschte E-Mails und Spam“, sagte Gowda gegenüber TechCrunch.

Er fügte hinzu, dass offengelegte E-Mail-IDs zu öffentlichen Datenbanken mit Sicherheitsverletzungen oder Spam-Listen hinzugefügt werden könnten und dass das massenhafte Scraping von E-Mail-Adressen zu automatisiertem Bot-Missbrauch oder Betrug führen könnte.

TechCrunch bestätigte die Offenlegung, nachdem der Forscher Details zum Fehler bekannt gegeben hatte. Der Forscher bestätigte TechCrunch, dass das Problem Anfang dieser Woche behoben wurde, was Naukri am Freitag bestätigte.

„Alle identifizierten Verbesserungen werden umgesetzt, um sicherzustellen, dass unsere Systeme aktuell und widerstandsfähig bleiben“, erklärte Alok Vij, Leiter der IT-Infrastruktur bei Naukris Muttergesellschaft InfoEdge, gegenüber TechCrunch per E-Mail. „Unsere Teams haben keine ungewöhnlichen Aktivitäten festgestellt, die die Integrität der Benutzerdaten beeinträchtigen.“

Naukri.com wurde im März 1997 gegründet und ist Indiens führende Kleinanzeigen-Website für Stellenvermittlung. Sie bringt Personalvermittler, Arbeitgeber und Arbeitssuchende zusammen. Außerhalb Indiens ist die Website auch im Nahen Osten unter dem Namen Naukrigulf.com vertreten.

„Einige Funktionen unserer Recruiter-Profile sind öffentlich zugänglich, damit Nutzer wissen, wer Zugriff auf ihre Profile hat. Wir führen regelmäßige Audits und Sicherheitsbewertungen durch“, sagte Vij.