30 Июля 2019 12:41 30 Июл 2019 12:41 |

Поделиться

Голландский кадровик случайно поломал Linkedin и открыл вакансии главы сервиса и CEO Google

Неожиданное открытие кадровика

Голландский HR-специалист Михел Рейндерс (Michel Rijnders) обнаружил баг в деловой социальной сети Linkedin. Ошибка позволяла подписчикам сервиса без соответствующих полномочий размещать вакансии от имени любой компании, причем бесплатно (обычно за это взымается плата). После несанкционированной публикации эти вакансии отображались на странице «Работа» вместе с другими официальными предложениями.

Для того, чтобы продемонстрировать наличие ошибки, Рейндерс опубликовал вакансии CEO (главного исполнительного директора) в Google и Linkedin, а также описал незатейливый механизм эксплуатации данной уязвимости на своей странице в социальной сети: для этого требовалось всего лишь указать название компании, от имени которой публикуется вакансия при ее создании. Стоит отметить, что поддельная вакансия главы Google появилась на страницах агрегатора предложений о работе Google Jobs, информацию для которого поисковая система автоматически собирает по всему интернету.

Кроме того, голландский рекрутер выразил обеспокоенность наличием в редакторе вакансий возможности указать сторонний веб-ресурс, на который будут перенаправляться кандидаты на предлагаемую должность, что, по его мнению, открывает широкие возможности перед мошенниками и структурами, заинтересованными в сборе персональных данных интернет-пользователей.

Реакция представителей социальной сети

На запись Рейндерса обратил внимание специалист по информационной безопасности из Linkedin Пол Роквелл (Paul Rockwell). Он поблагодарил голландца за предоставленные сведения и сообщил о том, что вакансии, публикация которых стала возможна благодаря багу, удалены, а над исправлением уязвимости работают компетентные специалисты.

Представитель социальной сети объяснил, что возможность размещать вакансии от имени сторонних компаний сама по себе не является багом: данная функциональность предусмотрена платформой и может использоваться, к примеру, специалистами рекрутинговых агентств, но только по согласованию с компаниями, чьи интересы представляют эти агентства. Кроме того, по словам специалиста, в настоящее время Linkedin проводит закрытое тестирование новой функции, которая позволяет подписчикам сервиса из числа представителей малого и среднего бизнеса размещать ограниченное количество объявлений о найме работников на бесплатной основе. Рейндерс оказался одним из счастливчиков, кому довелось принять участие в тестировании, хотя он сам, по-видимому, даже не знал об этом.

Роквелл также отметил, что размещение поддельных вакансий является нарушением условий использования сервиса, поэтому Linkedin будет пресекать подобные попытки в будущем, применяя для этого некие «автоматизированные технологии».

Однако, по словам Рейндерса, ничто не помешало ему опубликовать новую поддельную вакансию спустя сутки после заявления представителя компании.

Несколько слов о Linkedin

Linkedin – социальная сеть для поиска и установления деловых контактов, основанная Ридом Хоффманом (Reid Hoffman) в декабре 2002 г. и запущенная в мае 2003 г.

В 2016 г. Linkedin была приобретена Microsoft за $26,2 млрд. После приобретения Microsoft планировала интегрировать Linkedin с Office 365 и Dynamics.

В августе 2016 г. сайт Linkedin был заблокирован в России. Суд закрыл доступ к сервису по иску Роскомнадзора, который был обеспокоен тем фактом, что компания по-прежнему хранит персональные данные российских пользователей на серверах, расположенных за пределами России, вопреки требованиям закона «О локализации персональных данных».

В декабре 2018 г. в Сети были обнаружены три общедоступные и никак не защищенные базы данных, содержавшие сведения о 120 млн пользователей Linkedin.

Дмитрий Степанов

Поделиться

Подписаться на новости Короткая ссылка