Chile Trabajos expone todos los curriculums y direcciones de correo de sus usuarios

ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios. Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad […]

ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios.

Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad y sólo entregaran información vía judicial, sin embargo, es posible acceder a todos los curriculums y correos de sus usuarios sin siquiera estar registrado en el portal.

Extracto Politica de Privacidad – ChileTrabajos.cl

Las personas confían en este tipo de plataformas y en la seguridad/privacidad que les ofrecen, sin embargo, no siempre saben a lo que estan realmente expuestos.

Nos enteramos por @cokefig mediante twitter que Google indexa todos los curriculums asociados a una dirección de correo electrónico, pudiendo acceder a la información de todas esas personas

Busqueda en Google – ChileTrabajos.cl

La busqueda la puedes realizar mediante el dork site:http://chiletrabajos.cl/cv/c.php?id o site:www.chiletrabajos.cl inurl:upload_files.

En twitter, la cuenta de @ChileTrabajos asegura que sólo pasa cuando el usuario decide hacer su perfil publico o visible en internet

Sin embargo, nosotros hicimos la prueba y nos registramos en el portal, creamos un perfil y un curriculum falso, y cuando fuimos a relizar la descarga mediante http://www.chiletrabajos.cl/cv/c.php?id=nuestro@correo.org, el archivo fue descargado, pero con un mensaje que decia que la información es privada.

Pero el problema es otro…

Aun cuando el usuario decida o no hacer publico su perfil, esta información no debe indexarla ningun motor de busqueda. Por ejemplo, si un usuario decide hacer su perfil privado, su información ya estará indexada y disponible desde los motores de busqueda.

Esto no es todo. Como en todo portal de trabajos, a las personas les gusta subir sus fotos de presentación adjuntas a sus CVs, en este caso, ChileTrabajos tiene habilitado el Directory Listing, permitiendo listar TODAS las imagenes subidas por sus usuarios

ChileTrabajos.cl – Index of /upload_files/images/thumbs

El listado de imagenes se puede acceder desde http://www.chiletrabajos.cl/upload_files/images/thumbs/, demorará un poco en cargar puesto que son milesde líneas.

Se pueden encontrar fotografías con nombres completos y RUT de las personas

Nombre y RUT censurados por SECURELESS para proteger la privacidad.

Y tambien otro tipo de fotos como por ejemplo:

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdece93311b2e0a8b1a8ace6363a5b6.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffec176b77449d2025b3991df833a5e5.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdcf76e8f2ff080109eaf16e41e7753.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/0a2d3b955c5158e9c6ef5e9f8425031c.jpg

Si por un lado ChileTrabajos dice que a esta información sólo se puede acceder si el usuario configuró su perfil público, todos sabemos que el acceso directo a las imagenes no maneja sesiones ni cookies, por lo que es posible acceder directamente sin ningun tipo de control.