印度热门招聘网站Naukri修复API漏洞，曾导致招聘者邮箱地址泄露

印度知名招聘网站Naukri.com最近修复了一个严重的安全漏洞，该漏洞导致大量招聘人员在使用其移动应用程序（包括Android和iOS版本）搜索和联系潜在候选人时，他们的电子邮件地址被意外暴露。这一问题最初由安全研究员洛希特·高瓦达（Lohith Gowda）发现，他注意到Naukri的API在处理招聘人员访问候选人资料的过程中，将招聘人员的电子邮箱公开。 高瓦达向《TechCrunch》表示，这些被暴露的邮箱地址可能会被用于定向网络钓鱼攻击，招聘人员可能因此收到大量的垃圾邮件和不必要的信息。他警告说，这些邮箱地址有可能被添加到公共的数据泄露数据库或垃圾邮件列表中，从而引发自动化的机器人滥用或诈骗行为。 《TechCrunch》在获知具体情况后，核实了这一问题的存在。目前，Naukri已经解决了这个漏洞，高瓦达确认这一问题在本周早些时候得到修复，而Naukri也在周五进行了确认。InfoEdge公司的IT基础设施负责人阿洛克·维杰（Alok Vij）通过电子邮件向《TechCrunch》表示：“我们已经实施了所有已识别的改进措施，确保我们的系统保持最新和安全性。”他还强调，Naukri团队没有检测到任何影响用户数据完整性的异常活动。 据维杰介绍，Naukri的部分招聘人员资料页面功能设计为公开，旨在让用户了解谁查看了他们的个人资料。公司会定期进行审计和安全评估，以确保系统的稳定和安全。这一解释表明，虽然该漏洞已被修复，但Naukri在设计某些功能时仍需考虑更多的隐私保护措施。 Naukri.com成立于1997年3月，是印度最大的分类招聘信息网站之一，致力于为招聘人员、雇主和求职者之间搭建桥梁。除了在印度市场占据主导地位外，Naukri还在中东地区的Naukrigulf.com上运营。此次事件对Naukri来说是一个警钟，提醒公司需要更加重视用户的隐私保护和技术安全措施。 业内专家表示，这次暴露事件虽然没有造成大规模的数据泄露，但暴露出Naukri在隐私保护方面的不足。对于一个拥有庞大用户基础的招聘网站，加强API的安全性和透明度是必要的。Naukri的母公司InfoEdge也需进一步完善其安全机制，防止类似事件再次发生。Naukri作为行业领军者，需要在隐私保护方面树立更高的标准，为其他公司做出表率。