ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios.
Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad y sólo entregaran información vía judicial, sin embargo, es posible acceder a todos los curriculums y correos de sus usuarios sin siquiera estar registrado en el portal.
Las personas confían en este tipo de plataformas y en la seguridad/privacidad que les ofrecen, sin embargo, no siempre saben a lo que estan realmente expuestos.
Nos enteramos por @cokefig mediante twitter que Google indexa todos los curriculums asociados a una dirección de correo electrónico, pudiendo acceder a la información de todas esas personas
La busqueda la puedes realizar mediante el dork site:http://chiletrabajos.cl/cv/c.php?id o site:www.chiletrabajos.cl inurl:upload_files.
En twitter, la cuenta de @ChileTrabajos asegura que sólo pasa cuando el usuario decide hacer su perfil publico o visible en internet
Sin embargo, nosotros hicimos la prueba y nos registramos en el portal, creamos un perfil y un curriculum falso, y cuando fuimos a relizar la descarga mediante http://www.chiletrabajos.cl/cv/c.php?id=nuestro@correo.org, el archivo fue descargado, pero con un mensaje que decia que la información es privada.
Pero el problema es otro…
Aun cuando el usuario decida o no hacer publico su perfil, esta información no debe indexarla ningun motor de busqueda. Por ejemplo, si un usuario decide hacer su perfil privado, su información ya estará indexada y disponible desde los motores de busqueda.
Esto no es todo. Como en todo portal de trabajos, a las personas les gusta subir sus fotos de presentación adjuntas a sus CVs, en este caso, ChileTrabajos tiene habilitado el Directory Listing, permitiendo listar TODAS las imagenes subidas por sus usuarios
El listado de imagenes se puede acceder desde http://www.chiletrabajos.cl/upload_files/images/thumbs/, demorará un poco en cargar puesto que son milesde líneas.
Se pueden encontrar fotografías con nombres completos y RUT de las personas
Y tambien otro tipo de fotos como por ejemplo:
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdece93311b2e0a8b1a8ace6363a5b6.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffec176b77449d2025b3991df833a5e5.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdcf76e8f2ff080109eaf16e41e7753.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/0a2d3b955c5158e9c6ef5e9f8425031c.jpg
Si por un lado ChileTrabajos dice que a esta información sólo se puede acceder si el usuario configuró su perfil público, todos sabemos que el acceso directo a las imagenes no maneja sesiones ni cookies, por lo que es posible acceder directamente sin ningun tipo de control.
Raul: Hay una GRAN diferencia entre quienes lo hacen por una decisión propia a quienes por error de otros les publican sus datos.
Magicamente el Directory Listing, esta corregido
Saludos y buen articulo
Y cual es el problema?, si en facebook todos dejan sus fotos publicas.