1: 名無しさん＠おーぷん 2025-05-24(土) 10:00:00.00 ID:AbcDefGhI インドの求人サイト「Naukri.com」がやらかしたらしいぞｗｗｗ リクルーターのメアドがAPIのバグで閲覧可能状態だったとか ((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ これって、フィッシングとかスパムの標的になりまくりってことだよな？

ソース：Naukri exposed recruiter email addresses, researcher says (TechCrunch)

2: 名無しさん＠おーぷん 2025-05-24(土) 10:01:30.50 ID:JklMnoPqR ファッ!? また情報漏洩かよ…もう勘弁してくれ(´；ω；｀) インドのサイトって大丈夫なんか？

3: やる夫 ◆Yaruo.AHOI 2025-05-24(土) 10:02:15.12 ID:Yaruo001 Naukri.com ってインドじゃ超有名サイトだお！ やる夫も昔お世話になったことあるお！ でも、リクルーターのメアドが漏れるってのはヤバいお…(´・ω・｀)

   　　　　　 　 　 ＿＿＿_
   　　　　　 　 ／　　　　　＼
   　　　　 　 ／　─　　　─　＼
   　　　 　／　 （●） 　（●）　 ＼
   　　 　 ｜　　　 （__人__）　　 　 |
   　 　 　 ＼　 　　 ｀ ⌒´　　　,／
   　　　　ノ　　　　　　　　　　　＼
   　 ／´　　　　　　　　　　　　 　　ヽ

4: やらない夫 ◆Yaranai.ZO 2025-05-24(土) 10:03:45.88 ID:Yaranai99 >>3 お前が使ってたのは求職者側だろ。今回はリクルーター側の情報が漏れたって話だ。 記事読むと「Android と iOS アプリで使ってた API の問題」って書いてあるな。 ウェブサイトは影響なかったみたいだが…スマホアプリ経由かよ。

5: 名無しさん＠おーぷん 2025-05-24(土) 10:05:02.33 ID:StuVwxYz APIの脆弱性とか、もう聞き飽きた感あるわ。 ちゃんとテストしてないんか？それともインドのセキュリティ意識が低いんか？(偏見)

6: 永遠の初心者 ◆Shoshin.SYA 2025-05-24(土) 10:06:50.11 ID:Shoshinsha あの…APIってなんですか…？(´・ω・｀) アプリとかウェブサイトの裏側で動いてる何か…ですか？

7: できる夫 ◆Dekiru.EXPT 2025-05-24(土) 10:08:30.75 ID:DekiruEXP >>6 説明しよう！API（Application Programming Interface）とは、ソフトウェアやプログラム、ウェブサービス間で情報をやり取りするための窓口のようなものだ。 今回のNaukriのケースでは、スマホアプリが求人情報を取得したりする際に、このAPIを通じてサーバーと通信するのだが、その際にリクルーターのメールアドレスが意図せず外部から参照できてしまう状態だった、ということだね。 セキュリティ研究者のLohith Gowda氏が発見したそうだ。

8: 名無しさん＠おーぷん 2025-05-24(土) 10:10:10.10 ID:AbcDefGhI >>7 サンクス、できる夫！ つまり、誰でもそのAPIを叩けばリクルーターのメアド引っこ抜けたってことか…怖すぎやろ。 「公開侵害データベースやスパムリストに追加される可能性」とか「自動化されたボットによる悪用や詐欺」とか、想像しただけでゾッとするわ。

9: ひろゆき＠論破王 ◆Hiroyuki.RONPA 2025-05-24(土) 10:12:22.22 ID:HiroyukiX で、Naukri側はなんて言ってるんすか？ 「修正した」って記事には書いてありますけど、本当にユーザーに告知とかしたんすかね？ 「ユーザーデータの整合性に影響を与えるような異常なアクティビティは検出されていません」って、それってあなたの感想ですよね？

　　　　　　　　　　　　　　　　　　　　　　 ＿＿＿
　　　　　　　　　　　　　　　　　　　　　／　　　　　＼
　　　　　　　　　　　　　　　　　　　 ／─　　　─　　＼
　　　　　　　　　　　　　　　　　　／（●）　 （●）　　　＼
　　　　　　　　　　　　　　　　　　|　　（__人__）　　　　　|
　　　　　　　　　　　　　　　　　　＼　　｀⌒ ´　　　　 ／
　　　　　　　　　　　　　　　　　　／　　　　　　　　　　＼
　　　　　　　　　　　　　　　　　　　なんかそういうデータあるんですか？

10: 名無しさん＠おーぷん 2025-05-24(土) 10:14:05.67 ID:QrSTuvWx >>9 Naukriの親会社InfoEdgeのITインフラ責任者Alok Vij氏は「採用担当者のプロフィールの特定の機能は、ユーザーが誰が自分のプロフィールにアクセスできるかを知ることができるように、公開されるように設計されています」とか言ってるらしいで。 苦しい言い訳にしか聞こえんがｗｗｗ

11: やらない夫 ◆Yaranai.ZO 2025-05-24(土) 10:15:55.21 ID:Yaranai99 >>10 「意図的に公開してる情報もある（ｷﾘｯ）」ってか？ じゃあなんでTechCrunchに指摘されて「修正した」なんて言うんだよｗ 矛盾してんだよなぁ。

12: クマー ◆KUMA.GAOOO 2025-05-24(土) 10:17:30.99 ID:KumaBear1 クマーーーー！！！リクルーターのメアド、闇に流れるクマーーー！！！ フィッシングメールが大量に来るクマーーー！！！ ((((；ﾟДﾟ)))))))

　　　　 　　／￣￣￣＼
　　　　　　/　　　　　　ヽ
　　　　 　 |　●　　　●　|
　　　　　　|　　 (＿人_)　 |
　　　　　　 >　　 ∩ノ⊃　<　　クマー！
　　　　　　(　　 Ｙ　　　　 }
　　　 　　　ヽ＿人　　　ノ
　　　　　　　　　　 `ｰ'/

13: 名無しさん＠おーぷん 2025-05-24(土) 10:19:11.45 ID:XyzAbcDe これ、日本企業がやったら社長が土下座会見レベルだろ。 インドだと「修正したから問題なし！サーセンｗｗｗ」で済むんか？(^q^)

14: 名無しさん＠おーぷん 2025-05-24(土) 10:21:03.87 ID:FGhIjKlM まぁ、対岸の火事ではないわな。 日本でも求人サイト経由の情報で変な営業メールとか来ることあるし。 セキュリティ意識はどこも高めてほしいもんだわ。

15: やる夫 ◆Yaruo.AHOI 2025-05-24(土) 10:23:50.29 ID:Yaruo001 でも、Naukriはすぐに修正したって言ってるお！ えらいお！(｀・ω・´) きっとこれからはもっとセキュリティ頑張るお！ やる夫は応援してるお！

16: 名無しさん＠おーぷん 2025-05-24(土) 10:25:17.55 ID:OpQrStUv >>15 おめでてーなｗ 一度漏れた情報はデジタルタトゥーとして残り続けるんやで…

---

まとめ

今回のNaukri.comの件をまとめると…

1. インドの人気求人サイトNaukri.comのAndroid/iOSアプリ用APIにバグがあり、採用担当者のメールアドレスが外部から閲覧可能になっていた。
2. セキュリティ研究者Lohith Gowda氏が発見し、TechCrunchが検証。Naukri側は指摘を受け、問題を修正したと発表。
3. 漏洩したメールアドレスは、フィッシング攻撃、スパムメール、ボットによる悪用、詐欺などに利用される危険性があった。
4. Naukriの親会社InfoEdgeは「採用担当者プロフィールの特定機能は意図的に公開しているものもある」とコメントしつつ、「ユーザーデータに影響する異常な活動は検出されていない」と主張。
5. 企業におけるAPIセキュリティの重要性と、個人情報管理の徹底が改めて問われる事案となった。自社のサービスも他人事ではないと肝に銘じるべき。

メアドとはいえ、個人情報。管理はしっかりしてほしいンゴねぇ…。