« Le problème avec les bugs, c’est qu’ils ne prennent jamais de vacances, eux. » Si vous pensiez que votre boîte mail était déjà suffisamment envahie, imaginez ce que ressentent les recruteurs dont l’adresse s’est retrouvée exposée à la vue de tous, grâce (ou plutôt à cause) de Naukri.com, le géant indien du recrutement en ligne.
C’est Lohith Gowda, chercheur en sécurité et expert du bug impromptu, qui a débusqué la faille : sur l’application mobile de Naukri, une API bavarde distribuait généreusement les adresses email des recruteurs chaque fois qu’ils consultaient un profil. Un buffet à volonté pour les « phishers » en manque d’inspiration. La bonne nouvelle pour les internautes old school : le site web, quant à lui, gardait la bouche cousue.
L’affaire aurait pu tourner au concours de spam le plus rapide si Gowda n’avait pas tiré la sonnette d’alarme. Les risques ? Phishing ciblé, inclusion dans des listes noires, ou encore téléchargement dans la prochaine base de données sur le dark web. Bref, tout ce qu’il faut pour déclencher la fête du spam côté recruteurs, qui, paradoxalement, cherchent à renforcer leur équipe, pas leur boîte de réception.
Un bug d’apparence anodine peut vite transformer la chasse aux talents… en pêche aux adresses mail.
Heureusement, tout est bien qui finit… presque bien. Informée par TechCrunch, l’équipe de Naukri a sorti la trousse à outils (numérique, mais on imagine volontiers un tournevis USB) pour boucher la « fuite ». Leur patron de l’IT, Alok Vij, se veut rassurant : « Nous n’avons rien vu d’anormal dans nos systèmes ». Espérons que les spammeurs n’avaient pas eux, une longueur d’avance.
Fondé en 1997, Naukri.com s’est imposé comme le Cupidon des carrières entre Inde et Moyen-Orient. Sa mission suppose quelques sacrifices de confidentialité (certaines infos publiques pour rassurer candidats et recruteurs), mais la plateforme se targue désormais d’un audit régulier digne d’un contrôle de douane suisse : la sécurité, d’accord, mais sans perdre le sens de l’hospitalité.
Cet incident rappelle une loi fondamentale du web : « Qui sème des API, récolte parfois des ennuis. » Et pour tous les utilisateurs, n’oubliez pas : dans le recrutement comme ailleurs, mieux vaut garder ses adresses (email) secrètes que de les laisser filer au premier clic venu.
Au final, si cette histoire prouve une chose, c’est qu’au royaume du recrutement, il faut se méfier des bugs… surtout quand ils versent dans l’exhibitionnisme (numérique, bien sûr). Conclusion ? Comme aiment dire les développeurs à qui mieux-mieux : « Ctrl + S… mais surtout, Ctrl + Sécurité ! »
Source : Techcrunch
