Workrise remediază API-ul care scurge informațiile personale ale utilizatorilor

Compania de gestionare a forței de muncă Unicorn Workrise a remediat un API expus care scurgea informații personale ale unor utilizatori.

Startup-ul din Austin, Texas, fost RigUp, a fost fondat în 2014 ca o piață pentru forța de muncă calificată la cerere în industria petrolului și gazelor. Compania și-a schimbat numele în Workrise în februarie 2021 pentru a găzdui o gamă mai largă de sectoare energetice, cum ar fi solar, construcții și apărare. Până în mai 2021, Workrise a spus că a făcut acest lucru A strâns 300 de milioane de dolari, cu o evaluare de 2,9 miliarde de dolari. Dar luna trecută, Workrise a anunțat disponibilizări Se pare că acest lucru a infectat sute dintre cei 600 de angajați ai companiei după ce centrul central al pandemiei a eșuat.

Acum, un cercetător de securitate trece prin mâner Resler Ei au spus lui TechCrunch că au găsit un API Workrise expus, care permite oricui să recupereze informații personale despre subcontractanți direct de pe serverele Workrise, fără a necesita o parolă.

API-ul a reușit să returneze nume, adrese de e-mail, câteva detalii de angajare despre munca subcontractantului și nume și adrese de e-mail despre persoane care au furnizat referințe subcontractanților, cum ar fi colegii și foștii manageri ai acestora.

În termeni simpli, un API permite două lucruri să comunice între ele prin Internet, cum ar fi o aplicație pentru smartphone, a Bicicleta Peloton sau încuietori pentru uși care trebuie să comunice cu serverele lor. În acest caz, API-ul neautentificat poate fi interogat utilizând un browser web prin introducerea unui ID de utilizator unic din patru cifre, corespunzător evaluării subcontractantului. Dar ID-urile utilizatorului au fost concatenate, permițând oricui să acceseze informațiile altui subcontractant pur și simplu schimbând ID-ul utilizatorului cu un singur număr, o defecțiune comună de securitate cunoscută sub numele de eroare de referință directă a obiectelor nesigure – deși Rzlr a spus că nu fiecare număr oferă un răspuns corect.

Mai multe jurnale expuse văzute de TechCrunch au fost create din 2019 și au fost semnalate ca „schiță”.

Rzlr a spus că în testul lor limitat de 1.000 de înregistrări, au găsit peste 920 de înregistrări cu nume și adrese de e-mail. Rezler a spus că API-ul nu a limitat cantitatea de date care ar putea fi descărcate, ceea ce a avertizat că ar putea prezenta un risc de răzuire.

Povestea continuă

O captură de ecran partajată cu TechCrunch a arătat că datele pot fi răzuite cu ușurință.

TechCrunch i-a trimis prin e-mail CEO-ului Xuan Yong și COO Mike Witte, care nu au răspuns, dar după scurt timp API-ul nu mai era disponibil public și era protejat de o pagină de conectare. Într-un răspuns prin e-mail, Eric Murphy, vicepreședintele de securitate la Workrise, a declarat pentru TechCrunch: „Utilizatorii păstrează profilurile publice în mod implicit”, a spus Murphy. „În măsura în care Workrise identifică orice date active ale utilizatorilor care au fost dezvăluite și care nu au fost destinate să fie publice, Workrise intenționează să notifice direct acești utilizatori.”

Rzlr a spus că au contactat mai multe adrese de e-mail Workrise pe 22 aprilie – inclusiv adresa de e-mail de securitate principală a lui Murphy și a companiei – despre API-ul expus. Când a fost întrebat de ce API-ul nu a fost securizat timp de două săptămâni până când TechCrunch a contactat compania, Murphy a spus că e-mailurile cercetătorului au fost semnalate ca spam.

Workrise a remediat, de asemenea, o problemă cu un al doilea API care permitea oricui să obțină coduri de recomandare pentru utilizatori, care puteau fi apoi folosite pentru a interoga API-ul pentru a obține numele, adresa de e-mail, numărul de telefon și suma plății de recomandare pentru utilizatorii care au invitat pe alții să se alăture site-ul.

Întrebat dacă compania a efectuat audituri de securitate ale sistemelor sale, Murphy a spus că compania a fost supusă „mai multor” audituri terțe, dar a refuzat să numească compania care se presupune că le-a efectuat.