ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios. Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad […]
ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios.
Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad y sólo entregaran información vía judicial, sin embargo, es posible acceder a todos los curriculums y correos de sus usuarios sin siquiera estar registrado en el portal.
Las personas confían en este tipo de plataformas y en la seguridad/privacidad que les ofrecen, sin embargo, no siempre saben a lo que estan realmente expuestos.
Nos enteramos por @cokefig mediante twitter que Google indexa todos los curriculums asociados a una dirección de correo electrónico, pudiendo acceder a la información de todas esas personas
La busqueda la puedes realizar mediante el dork site:http://chiletrabajos.cl/cv/c.php?id o site:www.chiletrabajos.cl inurl:upload_files.
En twitter, la cuenta de @ChileTrabajos asegura que sólo pasa cuando el usuario decide hacer su perfil publico o visible en internet
Sin embargo, nosotros hicimos la prueba y nos registramos en el portal, creamos un perfil y un curriculum falso, y cuando fuimos a relizar la descarga mediante http://www.chiletrabajos.cl/cv/c.php?id=nuestro@correo.org, el archivo fue descargado, pero con un mensaje que decia que la información es privada.
Pero el problema es otro…
Aun cuando el usuario decida o no hacer publico su perfil, esta información no debe indexarla ningun motor de busqueda. Por ejemplo, si un usuario decide hacer su perfil privado, su información ya estará indexada y disponible desde los motores de busqueda.
Esto no es todo. Como en todo portal de trabajos, a las personas les gusta subir sus fotos de presentación adjuntas a sus CVs, en este caso, ChileTrabajos tiene habilitado el Directory Listing, permitiendo listar TODAS las imagenes subidas por sus usuarios
El listado de imagenes se puede acceder desde http://www.chiletrabajos.cl/upload_files/images/thumbs/, demorará un poco en cargar puesto que son milesde líneas.
Se pueden encontrar fotografías con nombres completos y RUT de las personas
Y tambien otro tipo de fotos como por ejemplo:
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdece93311b2e0a8b1a8ace6363a5b6.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffec176b77449d2025b3991df833a5e5.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdcf76e8f2ff080109eaf16e41e7753.jpg
http://www.chiletrabajos.cl/upload_files/images/thumbs/0a2d3b955c5158e9c6ef5e9f8425031c.jpg
Si por un lado ChileTrabajos dice que a esta información sólo se puede acceder si el usuario configuró su perfil público, todos sabemos que el acceso directo a las imagenes no maneja sesiones ni cookies, por lo que es posible acceder directamente sin ningun tipo de control.
Taringa! es una comunidad argentina que es visitada por gran parte de latinoamerica, donde los usuarios pueden compartir cualquier tipo de información. El día de ayer se reportó una vulnerabilidad que afecta a su reproductor de audio, permitiendo incrustar código javascript en el DOM.
JBoss es un servidor de aplicaciones J2EE open-source implementado en Java, se utiliza para poner en internet aplicaciones hechas en Java. Este servicio cuenta con una consola de administración y de monitoreo, donde se expone sensible información del servicio y del servidor. Lo ideal es que esta información sea accesible solo desde la red interna.