Этот веб-сайт по найму публично раскрывает данные пользователей

Я нашел зарплатные ожидания более тысячи пользователей

Я ничего не могу с собой поделать. Я постоянно проверяю сайты, нахожу ложь и промокоды. На этот раз я получил сообщение LinkedIn с приглашением присоединиться к платформе под названием WeTal, которую я описал как похожую на Tinder, но подбирающую разработчиков с вакансиями. Звучит не очень привлекательно. Я собирался удалить сообщение, но что-то меня заинтересовало. Сообщение содержало ссылку на их веб-сайт, которая включала параметр URL, содержащий имя пользователя человека, который якобы направил меня. Другими словами, я получил URL-адрес, который выглядел примерно так: https://wetal.io/invitation?user=theirusername.

Очевидно, мне пришлось попробовать ввести https://wetal.io/invitation?user=null. Null - это ключевое слово в программировании, которое в основном означает отсутствие значения. Мне было приятно узнать, что переход по этому URL-адресу, конечно, нарушает работу веб-сайта. В конечном итоге выглядит так, как будто он загружается бесконечно, с акцентом на внешний вид, поскольку интерфейс веб-сайта просто не обновляется должным образом. Кажется, это происходит независимо от того, что вы вводите вместо нуля.

Причина, по которой я знаю, что веб-сайт только выглядит так, как будто он загружается бесконечно, заключается в том, что я проверил сетевые вызовы. Я хотел понять, почему веб-сайт загружается так медленно, но то, что я обнаружил, было намного интереснее. Я нашел данные. Множество данных.

Это много данных

Я нашел целую кучу вызовов API (то есть разговоров между веб-сайтом и веб-сервером), содержащих массу данных - общедоступных. Сообщения в блогах, навыки, компании, пользователи, вакансии и обзоры - вот некоторые из данных, которые я наблюдал.

Пользовательские данные - это то, что меня больше всего интересует. Следуя этой ссылке, вы можете получить доступ к данным (возможно?) Для всех пользователей WeTal, представленных в виде файла JSON, где каждая запись представляет пользователя. На момент написания в ответе сервера есть данные о 2458 пользователях. WeTal утверждает, что у них на платформе 2500+« талантов . Где эти якобы последние сорок с лишним пользователей, я точно не знаю.

Прежде чем мы продолжим, у вас может возникнуть несколько проблем, которые я хочу решить. То есть, я определенно был обеспокоен. Публично разоблачать пользовательские данные? Похоже на серьезное нарушение безопасности! Что ж, посмотрев данные, я уверен, что они на самом деле преднамеренно общедоступны. К такому выводу я могу прийти по двум причинам. Во-первых, данные анонимны. Никаких идентифицирующих данных нигде нет. Во-вторых, доступ к тому, что кажется идентифицируемым, ограничен правильно. Изучив сетевые вызовы, я могу сказать, что веб-сайт получает личные данные пользователей, перейдя по этой ссылке: https://wetal.io/api/users/username. Если вы попытаетесь перейти по этой ссылке, вас остановят у двери - запрос надежно защищен. Разработчики могли бы сделать то же самое для всех этих сетевых вызовов, но вместо этого предпочли их анонимизировать.

Другими словами: поводов для беспокойства нет. Компания не делает ничего плохого; это не история стыда. Напротив, похоже, что они намеренно публикуют эти данные. Мне было любопытно, почему они это сделали, поэтому я связался с разработчиками WeTal около пяти недель назад, 3 марта 2021 года. Мне было любопытно узнать, что они мотивировали, чтобы сделать эти вызовы API общедоступными. К сожалению, они так и не ответили мне.

Статистически полезные данные

Как мы установили, данные должным образом анонимны, что соответствует нашим целям. Мы не заинтересованы в идентификации кого-либо. Нас интересует статистика. Видите ли, данные содержат интересную информацию. Речь идет о таких данных, как ожидаемая заработная плата, многолетний опыт и навыки. Если мы сложим эти факторы вместе, мы сможем провести статистический анализ того, какую среднюю или среднюю зарплату специалисты ожидают получить, исходя из их многолетнего опыта и навыков. Обратите внимание, что он не говорит нам, какая у них уже есть зарплата, но какую зарплату они хотели бы получать. Также обратите внимание, что подавляющее большинство пользователей находятся в Швеции.

Данные беспорядочные. Конечно, есть 2458 пользователей, но большинство из них вообще не вводят никаких данных. Если исключить всех пользователей, которые не указали роль и ожидаемую зарплату, у вас останется 1173 пользователя (на момент написания), то есть почти половина, что заставляет меня сомневаться в правдивости многих из них. Тем не менее, 1173 пользователя - это статистически значимое количество людей. Человек мог загрузить эти данные и провести всевозможные статистические анализы.

Как обычно, цель этой статьи - научить вас методам поиска интересной информации с помощью инструментов разработчика вашего браузера. Полюбопытствовать. Как работают сайты? Как данные передаются между сайтом и сервером? Используйте методы, которые я описал в этой статье, и посмотрите, что вы найдете на других сайтах. О, и если вы найдете что-то, что, по вашему мнению, я должен прикрыть, пожалуйста, протяните руку.

Говоря об обращении, если WeTal свяжется со мной, я дополню эту статью их ответом.

Спасибо за внимание! Если вам понравилась эта статья, вам, вероятно, понравятся и эти два фрагмента текста:



В исходном коде интернет-магазина раскрыта вопиющая ложь
14 человек действительно смотрят на этот продукт? medium.com





Этот веб-сайт случайно оставил промо-коды в исходном коде
Поиск интересных вещей путем проверки веб-сайтов javascript.plainenglish.io



Больше контента на plainenglish.io