劳动力管理独角兽 Workrise 修复了一个暴露的 API,该 API 泄露了一些用户的个人信息。
这家位于德克萨斯州奥斯汀的初创公司成立于 2014 年,是石油和天然气行业按需和熟练劳动力的市场。该公司于 2021 年 2 月更名为 Workrise,以适应更广泛的能源领域,如太阳能、建筑和国防。到 2021 年 5 月,Workrise 表示已以 29 亿美元的估值筹集了 3 亿美元。但上个月, Workrise 宣布裁员,据报道,在大流行中期的支点未能成功后,该公司 600 名员工中的数百名员工遭到了裁员。
现在,一位名为 Rzlr的安全研究人员告诉 TechCrunch,他们发现了一个暴露的 Workrise API,允许任何人直接从 Workrise 服务器检索有关分包商的个人信息,而无需密码。
API 能够返回有关分包商工作的姓名、电子邮件地址和一些就业详细信息,以及为分包商提供参考的人员的姓名和电子邮件地址,例如他们的前同事和经理。
简单来说,API 允许两个事物通过 Internet 相互通信,例如智能手机应用程序、 Peloton 自行车或需要与其服务器通信的门锁。在这种情况下,可以使用 Web 浏览器通过插入与分包商评论相对应的唯一四位用户 ID 来查询未经身份验证的 API。但用户 ID 是连续的,允许任何人只需将用户 ID 更改一个数字即可访问另一个分包商的信息,这是一种常见的安全漏洞,称为不安全的直接对象引用错误——尽管 Rzlr 表示并非每个数字都返回有效响应。
TechCrunch 看到的一些公开记录早在 2019 年就创建了,并标记为“草稿”。
Rzlr 表示,在他们对 1,000 条记录的有限测试中,他们发现了超过 920 条带有姓名和电子邮件地址的记录。 Rzlr 表示,API 并没有限制可以下载的数据量,他们警告说这可能会带来抓取风险。
与 TechCrunch 共享的屏幕截图显示,数据很容易被抓取。
TechCrunch 给 CEO 宣勇和首席运营官 Mike Witte 发了电子邮件,他们没有回复,但不久之后,该 API 不再公开访问,并受到登录页面的保护。在一封电子邮件回复中,Workrise 的安全副总裁 Eric Murphy 告诉 TechCrunch:“默认情况下,用户会维护公共档案,”Murphy 说。 “如果 Workrise 确定任何不打算公开的活动用户数据被泄露,Workrise 计划直接通知这些用户。”
Rzlr 表示,他们在 4 月 22 日联系了多个 Workrise 电子邮件地址——包括 Murphy 和公司的主要安全电子邮件地址——以了解暴露的 API。当被问及为什么在 TechCrunch 联系该公司之前两周内 API 没有得到保护时,墨菲说研究人员的电子邮件被标记为垃圾邮件。
Workrise 还修复了第二个 API 问题,该问题允许任何人获取用户的推荐代码,然后可用于查询 API 以获取邀请他人加入网站的用户的姓名、电子邮件地址、电话号码和推荐支付金额.
当被问及该公司是否对其系统进行了安全审计时,墨菲表示,该公司已经接受了“多次”第三方审计,但拒绝透露据称执行这些审计的公司的名称。
原文: https://techcrunch.com/2022/05/05/workrise-api-personal-information/