Executando verificação de segurança...
14
Black01
1 min de leitura ·

Dados de candidatos expostos no site da empresa

Olá, pessoal. Recentemente me candidatei a uma vaga de programador. Alguns meses se passaram sem qualquer retorno, então decidi acessar o site da empresa para verificar se a vaga ainda estava disponível.

Para minha surpresa, ao clicar no link da vaga, fui redirecionado para o portal de RH da própria empresa totalmente acessível ao público. Além das vagas, estavam expostos os currículos de diversos candidatos, com informações pessoais como número de telefone, e-mail e os próprios arquivos em PDF.

Enviei um e-mail à empresa relatando a situação, mas já se passaram algumas semanas sem qualquer resposta, e os dados continuam disponíveis.

O site não possui qualquer tipo de proteção: não exige login, autenticação, nem mesmo um aviso. Fui redirecionado para essa área diretamente do próprio site oficial da empresa. Fico me perguntando como isso ainda não gerou nenhum problema .

Importante ressaltar que não fiz nenhuma alteração no site e também não mencionei o nome da empresa aqui porque não quero expô-los.

Como mencionei, já tentei contato, mas também não quero parecer insistente reenviando emails.

Alguém aqui já passou por algo parecido ou sabe como agir diante de uma situação como essa?

Carregando publicação patrocinada...
7
sushi

Nesses casos aí, eu tento algumas abordagens, em ordem

  1. checar se tem um security.txt no site, tipo esse https://www.google.com/.well-known/security.txt e enviar pelo canal indicado os detalhes
  2. se não existe, security.txt, tento mandar um email avisando pra emails institucionais da empresa, tipo [email protected], [email protected], [email protected]
  3. se o vazamento for realmente grande e a empresa não respondeu mesmo assim, mandaria os detalhes pra alguém da imprensa tentar cutucar, tipo @felipepayao
3
UpsideDownFox

Bom dia! Sim, já passei por isso DIVERSAS vezes.

Há ~4 meses foi o pior caso, ainda em uma empresa de RH, vários bancos de dados acessíveis, senhas|ips|logins de SSH expostos, até fui respondido com a justificativa que "o responsável entrará em contato", no fim, acabei sendo bloqueado em todas as redes que entrei em contato com eles e não corrigiram, pode até ser a mesma empresa que você encontrou. Acredito que não posso dizer o nome, provavelmente, pois apenas quem pode cometer irregularidades são elas (empresas), se fizermos qualquer coisa (pesquisadores), lá vamos no tribunal em tempo recorde.

Ainda reportei para uma das maiores provedoras de internet do país, vazando todos os dados, permitindo falsificar um envio de e-mail e enviar em nome deles para qualquer pessoa com qualquer conteúdo: Ignorado, tive que mandar mensagens durante ~8 meses (SEM CORRIGIR NADA), sendo até bem "mal atendido", só faltou chamarem a polícia.

Não há o que fazer, a ANPD vai jogar pra outro, outro vai jogar pra ANPD, ainda é uma burocracia que só (já tentei várias vezes).

Simplesmente não pesquiso mais em empresas brasileiras, nem em programa de Bug Bounty são eficientes, imagina sem qualquer programa, é isso aí pra pior.

O que fazer? Ignorar, evite dor de cabeça.

2
1
RavenaStar

Envie um relatório de denúncia referente à falha para a empresa por e-mail, formulário ou qualquer outro meio de contato disponível. Em seguida, comunique a ANPD e o CERT.br. Se, mesmo assim, não houver solução, siga os passos abaixo:

  1. Registre as evidências na Verifact. Essa plataforma é mais acessível do que a ata notarial e garantirá um registro legal, evitando possíveis complicações caso a empresa tente transferir a responsabilidade para você.

  2. Consulte um advogado especializado em direito digital para obter orientações adicionais e definir os próximos passos.

Alternativamente, você pode simplesmente evitar fornecer dados sensíveis para empresas que apresentam esse tipo de falha e deixar de usá-las.

Informações Adicionais

  • O Google dispõe de ferramentas de remoção de dados em casos de violação de direitos autorais e outras infrações. Caso necessário, você pode entrar em contato diretamente com o Google:

  • Também é possível contatar o provedor de hospedagem do site para relatar o incidente e informar sobre os requisitos da LGPD/GDPR, garantindo maior segurança e conformidade jurídica.

    Caso funcione, vai conseguir realizar um takedown do site através de uma denúncia ao provedor de hospedagem.

Por fim, se a empresa ignorar a falha e não tomar providências, deixe que o próprio caráter e suas ações a conduzam ao declínio.

1
1
DevTiltado

Pra que se preocupar mano ? tipo maneiro tu ter dado uma atenção a isso e afins, mas se você não vai ganhar dinheiro reportando o problema, tu já fez mais que sua obrigação que literalmente é fazer nada, tipo se a empresa deixou aberto muito provavelmente ela tem ciência de que está assim e muito provavelmente não irão fazer nada.

Se tu foi prejudicado de alguma forma, abre processo junto a ANPD e prova que tu foi lesionado se não deixa ai, te garanto que não vão te recompensar por ter encontrado uma falha. Não adota as dores dos outros para você a não ser que seja realmente necessário, se tu faz um relato disso para a empresa e da merda no sentido de eles perderem os dados eles podem alegar que foi você e te dar dor de cabeça, Então repito, pra que se preocupar sendo que nem eles tem essa preocupação ?

1
faelpinho

Eu recentemente peguei um site de recrutamento (edit: da gringa) com o mesmo problema, onde a validação era feita apenas usando a session, sem verificar dado nenhum, e a sessão era inicializada ao acessar a home, então era só ter o link. Fui olhar um pouco mais, e vi que a listagem de diretórios estava ativada e já haviam alguns web shell no site.

Acabei de verificar agorinha que negaram a listagem dos diretórios, mas os muitos web shells continuam lá. Já fiz minha parte em reportar novamente. Agora, se vão resolver...