image

Online wervingsplatform Chattr.AI lekte gegevens sollicitanten en personeel

donderdag 11 januari 2024, 14:57 door Redactie, 2 reacties

Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Dat laten twee beveiligingsonderzoekers weten. Via Chattr.AI kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens zoals KFC, Taco Bell en Subway, werken ermee. Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.

Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten. In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.

Reacties (2)
11-01-2024, 15:23 door Anoniem
Firebase (Google) vindt dat dit "by design" moet kunnen. Een gebruiker aanmaken met een simpele (curl) request.
Wij hebben dit beveiligd door nieuwe users in Firebase direct te blokkeren met een trigger.
11-01-2024, 15:24 door Anoniem
plaintext wachtwoorden......

Daar zouden gewoon straffen op moeten staan

TheYOSH
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.