Workrise corrige l’API qui divulgue les informations personnelles des utilisateurs – TechCrunch

La société de gestion des effectifs Unicorn Workrise a corrigé une API exposée qui divulguait les informations personnelles de certains utilisateurs.

La startup d’Austin, au Texas, anciennement RigUp, a été fondée en 2014 en tant que marché pour la main-d’œuvre qualifiée en demande dans l’industrie pétrolière et gazière. L’entreprise a changé son nom en Workrise en février 2021 pour s’adapter à un plus large éventail de secteurs énergétiques, tels que le solaire, la construction et la défense. En mai 2021, Workrise a déclaré l’avoir fait Il a levé 300 millions de dollars avec une valorisation de 2,9 milliards de dollars. Mais le mois dernier, Workrise annonce des licenciements qui aurait touché des centaines des 600 employés de l’entreprise après l’échec du hub central de la pandémie.

Maintenant, un chercheur en sécurité passe par la poignée Resler Ils ont déclaré à TechCrunch qu’ils avaient trouvé une API Workrise exposée qui permet à quiconque de récupérer des informations personnelles sur les sous-traitants directement à partir des serveurs de Workrise sans nécessiter de mot de passe.

L’API a pu renvoyer des noms, des adresses e-mail, des détails sur l’emploi du sous-traitant, ainsi que des noms et des adresses e-mail sur les personnes qui ont fourni des références aux sous-traitants, telles que leurs collègues et anciens managers.

En termes simples, une API permet à deux choses de se parler sur Internet, comme une application pour smartphone, un Vélo de peloton ou alors serrures de porte qui ont besoin de communiquer avec leurs serveurs. Dans ce cas, l’API non authentifiée peut être interrogée à l’aide d’un navigateur Web en saisissant un identifiant utilisateur unique à quatre chiffres correspondant à l’avis du sous-traitant. Mais les identifiants d’utilisateur ont été concaténés, permettant à quiconque d’accéder aux informations d’un autre sous-traitant simplement en changeant l’identifiant d’utilisateur avec un seul numéro, une faille de sécurité courante connue sous le nom d’erreur de référence directe d’objet non sécurisée – bien que Rzlr ait déclaré que tous les numéros ne donnent pas une réponse correcte.

Plusieurs journaux exposés vus par TechCrunch ont été créés depuis 2019 et marqués comme « brouillon ».

Rzlr a déclaré que dans leur test limité de 1 000 enregistrements, ils avaient trouvé plus de 920 enregistrements avec des noms et des adresses e-mail. Rezler a déclaré que l’API ne limitait pas la quantité de données pouvant être téléchargées, ce qui, selon eux, pourrait poser un risque de grattage.

Une capture d’écran partagée avec TechCrunch a montré que les données peuvent être récupérées facilement.

TechCrunch a envoyé un e-mail au PDG Xuan Yong et au COO Mike Witte, qui n’ont pas répondu, mais après un court laps de temps, l’API n’était plus accessible au public et était protégée par une page de connexion. Dans une réponse par e-mail, Eric Murphy, vice-président de la sécurité chez Workrise, a déclaré à TechCrunch : « Les utilisateurs conservent les profils publics par défaut », a déclaré Murphy. « Dans la mesure où Workrise identifie des données d’utilisateurs actifs qui ont été divulguées et qui n’étaient pas destinées à être publiques, Workrise prévoit d’informer directement ces utilisateurs. »

Rzlr a déclaré avoir contacté plusieurs adresses e-mail Workrise le 22 avril – y compris l’adresse e-mail de sécurité principale de Murphy et de l’entreprise – à propos de l’API exposée. Lorsqu’on lui a demandé pourquoi l’API n’avait pas été sécurisée pendant deux semaines jusqu’à ce que TechCrunch contacte l’entreprise, Murphy a déclaré que les e-mails du chercheur étaient signalés comme spam.

Workrise a également résolu un problème avec une deuxième API qui permettait à quiconque d’obtenir des codes de parrainage d’utilisateurs, qui pouvaient ensuite être utilisés pour interroger l’API afin d’obtenir le nom, l’adresse e-mail, le numéro de téléphone et le montant du paiement de parrainage pour les utilisateurs qui ont invité d’autres à rejoindre le site.

Lorsqu’on lui a demandé si l’entreprise avait effectué des audits de sécurité de ses systèmes, Murphy a déclaré que l’entreprise avait subi de « multiples » audits tiers, mais avait refusé de nommer l’entreprise qu’elle aurait effectuée.