ثغرة أمنية في Naukri تؤدي إلى تسريب عناوين البريد الإلكتروني للمُوظِّفين.

قام موقع Naukri.com، أحد أشهر مواقع التوظيف في الهند، بإصلاح ثغرة أمنية خطيرة كانت تؤدي إلى كشف عناوين البريد الإلكتروني للمُوظِّفين الذين يستخدمون المنصة للبحث عن مرشحين. تم اكتشاف هذه الثغرة من قبل الباحث الأمني Lohith Gowda، الذي نبه الشركة إلى أن واجهة برمجة التطبيقات (API) في تطبيقات Naukri على Android وiOS كانت تكشف هذه البيانات الحساسة.

تفاصيل الثغرة

أثرت الثغرة على تطبيقات Naukri للهاتف المحمول، حيث كانت واجهة API تعرض عناوين البريد الإلكتروني للمُوظِّفين عند زيارتهم لصفحات المرشحين. لم تؤثر الثغرة على الموقع الرسمي لـ Naukri على الويب.

أوضح الباحث أن هذه الثغرة قد تُستخدم في:

تنفيذ هجمات تصيد احتيالي (Phishing) موجهة للمُوظِّفين.

إدراج العناوين المكشوفة في قواعد بيانات الاختراقات أو قوائم البريد العشوائي.

إساءة الاستخدام عبر بوتات تلقائية لجمع البيانات أو إرسال الرسائل.

وقد قامت TechCrunch بالتحقق من صحة البلاغ، وأكّد الباحث الأمني أن المشكلة تم حلّها بالفعل.

رد الشركة

قال Alok Vij، رئيس البنية التحتية لتكنولوجيا المعلومات في شركة InfoEdge المالكة لـ Naukri، إن جميع التحسينات المطلوبة قد تم تنفيذها، وأضاف:

"فِرقنا لم تكتشف أي نشاط غير اعتيادي قد يؤثر على سلامة بيانات المستخدمين."

كما أوضح أن بعض خصائص ملفات تعريف المُوظِّفين مصممة لتكون عامة لإعلام المستخدمين بمن زار حساباتهم، وأكّد على إجراء مراجعات أمنية منتظمة لتعزيز الحماية.

عن Naukri

تأسس موقع Naukri.com في مارس 1997، ويُعد المنصة الرائدة للتوظيف في الهند. يربط بين الباحثين عن وظائف وأصحاب العمل، ولديه أيضًا نسخة موجهة لمنطقة الشرق الأوسط تحت اسم Naukrigulf.com.

خلاصة

رغم أن المشكلة تم حلّها، فإن هذا الحادث يسلّط الضوء على أهمية اختبار التطبيقات بشكل دوري من الناحية الأمنية، خاصةً تلك التي تتعامل مع معلومات حساسة مثل بيانات التواصل الوظيفي. على الشركات والمستخدمين على حد سواء اتخاذ إجراءات وقائية لضمان حماية بياناتهم في هذا العصر الرقمي المتسارع.