Executando verificação de segurança...
7

Dados de candidatos expostos no site da empresa

Olá, pessoal. Recentemente me candidatei a uma vaga de programador. Alguns meses se passaram sem qualquer retorno, então decidi acessar o site da empresa para verificar se a vaga ainda estava disponível.

Para minha surpresa, ao clicar no link da vaga, fui redirecionado para o portal de RH da própria empresa totalmente acessível ao público. Além das vagas, estavam expostos os currículos de diversos candidatos, com informações pessoais como número de telefone, e-mail e os próprios arquivos em PDF.

Enviei um e-mail à empresa relatando a situação, mas já se passaram algumas semanas sem qualquer resposta, e os dados continuam disponíveis.

O site não possui qualquer tipo de proteção: não exige login, autenticação, nem mesmo um aviso. Fui redirecionado para essa área diretamente do próprio site oficial da empresa. Fico me perguntando como isso ainda não gerou nenhum problema .

Importante ressaltar que não fiz nenhuma alteração no site e também não mencionei o nome da empresa aqui porque não quero expô-los.

Como mencionei, já tentei contato, mas também não quero parecer insistente reenviando emails.

Alguém aqui já passou por algo parecido ou sabe como agir diante de uma situação como essa?

Carregando publicação patrocinada...
6

Nesses casos aí, eu tento algumas abordagens, em ordem

  1. checar se tem um security.txt no site, tipo esse https://www.google.com/.well-known/security.txt e enviar pelo canal indicado os detalhes
  2. se não existe, security.txt, tento mandar um email avisando pra emails institucionais da empresa, tipo [email protected], [email protected], [email protected]
  3. se o vazamento for realmente grande e a empresa não respondeu mesmo assim, mandaria os detalhes pra alguém da imprensa tentar cutucar, tipo @felipepayao
3

Bom dia! Sim, já passei por isso DIVERSAS vezes.

Há ~4 meses foi o pior caso, ainda em uma empresa de RH, vários bancos de dados acessíveis, senhas|ips|logins de SSH expostos, até fui respondido com a justificativa que "o responsável entrará em contato", no fim, acabei sendo bloqueado em todas as redes que entrei em contato com eles e não corrigiram, pode até ser a mesma empresa que você encontrou. Acredito que não posso dizer o nome, provavelmente, pois apenas quem pode cometer irregularidades são elas (empresas), se fizermos qualquer coisa (pesquisadores), lá vamos no tribunal em tempo recorde.

Ainda reportei para uma das maiores provedoras de internet do país, vazando todos os dados, permitindo falsificar um envio de e-mail e enviar em nome deles para qualquer pessoa com qualquer conteúdo: Ignorado, tive que mandar mensagens durante ~8 meses (SEM CORRIGIR NADA), sendo até bem "mal atendido", só faltou chamarem a polícia.

Não há o que fazer, a ANPD vai jogar pra outro, outro vai jogar pra ANPD, ainda é uma burocracia que só (já tentei várias vezes).

Simplesmente não pesquiso mais em empresas brasileiras, nem em programa de Bug Bounty são eficientes, imagina sem qualquer programa, é isso aí pra pior.

O que fazer? Ignorar, evite dor de cabeça.

2