Wyciek CV z terazpraca.pl

Może już wielu z Was słyszało o dzisiejszym wycieku kilkunastu tysięcy curriculum vitae ze strony terazpraca.pl? Jeśli nie to już tłumaczę co się stało.

Otóż dane nie były w żaden sposób zabezpieczone. Były to ponumerowane po kolei pliki pod adresem http://terazpraca.pl/data/pliki - aż kusi by napisać do tego automat, który by je pobrał (byleby nie skończyć jak pewien Łotysz). Okazało się jednak, że wszystkie pliki są już zabezpieczone przed odczytem. Czy aby jednak na pewno?

Uwaga: Disclaimer: poniższa część wpisu nie nakłania do wykonywania opisywanych w niej czynności, mają one jedynie charakter edukacyjny.

Skoro znamy lokalizację plików, możemy domyśleć się ich rozszerzenia (skoro to CV to najprawdopodobniej *.doc lub *.pdf), to aż prosi się o wykorzystanie tzw. Google Hackingu. Wykorzystując bardzo proste zapytanie site:terazpraca.pl/data/pliki/ filetype:doc/pdf/costam_jeszcze możemy poznać listę CV zaindeksowanych przez wujka Google. Nie ma ich bardzo dużo, ale zawsze.

Zastanawiacie się może jak je odczytać, skoro, jak już napisałem, pliki są zabezpieczone przed odczytem? Tutaj z pomocą przychodzi nam oferowana przez Google funkcja Quick View (Szybki podgląd?). Wyświetlane przez tą funkcję pliki pochodzą z cache Google, przez co możemy je bez problemu zobaczyć. (Kliknij na obrazek, aby powiększyć)

Google hacking terazpraca.pl

Całą sprawą zajmuje się już GIODO.

Komentarze wyłączone

Możliwość komentowania na blogu została wyłączona. Zapraszam do kontaktu na Twitterze, Facebooku lub poprzez formularz, o ten tutaj. Do usłyszenia!