إدارة القوى العاملة ، قامت Unicorn Workrise بإصلاح واجهة برمجة تطبيقات مكشوفة كانت تسكب بعض المعلومات الشخصية لبعض المستخدمين. -الولادة والعمالة الماهرة في صناعة النفط والغاز. غيرت الشركة اسمها إلى Workrise في فبراير 2021 لاستيعاب مجموعة أوسع من قطاعات الطاقة ، مثل الطاقة الشمسية والبناء والدفاع. بحلول مايو 2021 ، قال وور وورسلز إنها جمعت 300 مليون دولار بتقييم 2.9 مليار دولار. ولكن في الشهر الماضي ، أعلنت Workrise عن تسريح العمال والتي ورد أنها ضربت مئات موظفي الشركة البالغ عددهم 600 موظف بعد فشل محور الأميركي في الوسط. API التي سمحت لأي شخص باسترداد المعلومات الشخصية حول المقاولين من الباطن مباشرة من خوادم Workrise دون الحاجة إلى كلمة مرور. الأشخاص الذين قدموا مراجع للمقاولين من الباطن ، مثل زملائهم السابقين ومديريهم. التي تحتاج إلى التواصل مع خوادمهم. في هذه الحالة ، يمكن الاستعلام عن واجهة برمجة التطبيقات غير المصادقة باستخدام متصفح الويب عن طريق توصيل معرف مستخدم فريد من أربعة أرقام يتوافق مع مراجعة المقاول من الباطن. لكن معرفات المستخدم كانت متسلسلة ، مما سمح لأي شخص بالوصول إلى معلومات المقاول من الباطن الآخر ببساطة عن طريق تغيير معرف المستخدم بواسطة رقم واحد ، وهو عيب أمان شائع يُعرف باسم خطأ مرجع الكائن المباشر غير الآمن - على الرغم من أن RZLR قال إنه لم يرجع كل رقم استجابة صالحة. < br>
تم إنشاء العديد من السجلات المكشوفة التي تراها TechCrunch منذ عام 2019 وتم وضع علامة عليها كمسودة.
قال RZLR في اختبارهم المحدود البالغ 1000 سجل ، وجدوا أكثر من 920 سجلًا بأسماء و عناوين البريد الإلكتروني. وقال RZLR إن واجهة برمجة التطبيقات لم تقصر كمية البيانات التي يمكن تنزيلها ، والتي حذروها كان من الممكن أن تقدم مخاطر تجريف. Br> TechCrunch عبر البريد الإلكتروني ، الرئيس التنفيذي لشركة Xuan Yong و COO Mike Witte ، اللذين لم يردوا ، ولكن بعد وقت قصير لم يعد API متاحًا للجمهور وتم حمايته بواسطة صفحة تسجيل الدخول. وقال مورفي إن إريك مورفي ، نائب رئيس الأمن في Workrise ، في رد عبر البريد الإلكتروني ، قال إريك مورفي ، نائب رئيس الأمن في Workrise ، لـ TechCrunch: يحتفظ المستخدمون بملفات تعريف عامة بشكل افتراضي. إلى الحد الذي يحدد Workrise أي بيانات مستخدم نشطة لم يكن المقصود منها أن تكون عامة ، تخطط Workrise لإخطار هؤلاء المستخدمين مباشرة. عنوان البريد الإلكتروني الرئيسي للأمان - حول واجهة برمجة التطبيقات المكشوفة. عندما سئل عن سبب عدم تأمين واجهة برمجة التطبيقات لمدة أسبوعين حتى اتصلت TechCrunch بالشركة ، قال مورفي إن رسائل البريد الإلكتروني للباحث تم وضع علامة عليها على أنها غير مرغوب فيها. التي يمكن بعد ذلك استخدامها للاستعلام عن واجهة برمجة التطبيقات للحصول على الاسم وعنوان البريد الإلكتروني ورقم الهاتف ومبلغ دفع الإحالة من المستخدمين الذين دعوا الآخرين للانضمام إلى الموقع.
من أنظمتها ، قال مورفي إن الشركة خضعت لعمليات تدقيق متعددة من طرف ثالث لكنها رفضت تسمية الشركة التي زُعم أنها أدت إليها. >
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
