🗞️

Filtraciones de contraseñas en otros servicios permiten acceso a cuentas de Infojobs

Papalukas77 5 junio 2025 17:23 ✎

⋮

Intentos masivos de acceso con usuarios y contraseñas provenientes de filtraciones en otros servicios, han permitido el acceso a un número de cuentas de Infojobs sin determinar. En las cuentas que se pudieron acceder se ha notificado el robo de información de contacto y parte del perfil profesional. Tras contener la amenaza, desde Infojobs se informa que han instalado controles adicionales para prevenir estas situaciones en el futuro. Infojobs también ha recomendado a sus usuarios que se cambie la contraseña de acceso, sobre todo si es la misma que la utilizada en otros servicios.

Fuentes: ElDiario.es, ElMundo.com.

Comparte

balgacio 5 junio 2025 17:54

⋮

Pero, ¿te has leído siquiera lo que enlazas?

Se ha accedido a perfiles mediante el tanteo de correo + contraseña de otras filtraciones (las famosas bases de datos de filtraciones), no de que Infojobs haya sufrido una filtración, ni ningún ataque de ningún tipo.

Moreleja, dejad de usar la misma contraseña en todos los sitios.

Para todo lo demás, amarillismo, cuanto más mejor.

Jezu7 5 junio 2025 20:43

⋮

Dice el mail que han enviado:

La semana del 26 de mayo, identificamos que se utilizaron credenciales robadas de usuario para acceder a nuestros servicios. Este acceso no autorizado afectó a tus datos de contacto y potencialmente otros datos personales de tu perfil en InfoJobs

leosfsm 5 junio 2025 21:56

⋮

Me parece muy raro. He recibido un correo diciendo que estoy afectado, pero no reutilizo contraseñas y todas las que uso son generadas aleatoriamente por un gestor.

O han enviado un correo genérico a todo el mundo, o la han liado muy parda y no lo quieren reconocer.

✖

Castillos 6 junio 2025 07:35

⋮

Yo uso Bitwarden y no he recibido ningún email de infojobs.

También tengo desactivada la opción "CV visible en base de datos", por lo que ninguna empresa puede buscar y consultar mi CV. Es posible que si han entrado con credenciales robadas de alguna empresa, han realizado consultas masivas para exfiltrar todos los CV posibles con la opción activada para que el CV sea visible en base de datos.

Con un script y si Infojobs no tiene en su web una protección contra consultas masivas, pueden exfiltrar cientos de miles, o millones de CV en una noche.

leosfsm 6 junio 2025 07:54

⋮

Es verdad, ni lo había pensado, esa opción la tengo encendida.

Hoy en día te dan por todos lados sin darte cuenta.

Edit: @Castillos, perdona me he equivocado al responderte.

Elchavalociosu lunes a las 20:28

⋮

Yo soy otro que recibió el mail de marras

balgacio lunes a las 20:44

⋮

Yo no he recibido nada, ni creo que lo reciba porque no comparto ni buzón ni contraseña con otros servicios.

Pero lo que es irónico es que llevo intentando entrar unos días y sus sistemas me califican de BOT.

Total, que resuelves el captcha para ir a las páginas de ayuda, a un enlace que ni siquiera funciona, pero aun así no te deja acceder al área de candidatos, que es donde debería mostrar el captcha y sólo dice que "uy, perdona, que te hemos considerado un BOT".

También tiene gracia que en la página de ayuda correcta te digan que uses el modo incógnico, borres las cookies y la caché y lo vuelvas a intentar, o incluso usar un navegador diferente. Cosa que no sirve.

Irónico y absurdo al mismo tiempo.

Les he abierto ticket y ni se dignan a contestar.

No es que le diera uso al portal, pero vaya, ¿me bloquean a mí y no son capaces de bloquear el acceso reiterado, tal vez de scrapping?

Buenísimas medidas de seguridad, como siempre.

✖

pepejil martes a las 08:59

⋮

Ya te digo yo que no ha sido scrapping al uso y más si tienen Captcha en el login.

Les han debido entrar por otra parte, quizás por una API mal perimetrada.

✖

balgacio martes a las 19:49

⋮

Era una mención velada a lo comentado por Castillos en este mismo tema, por lo cual me parece plausible el scrapping por acceso a alguna cuenta de empresa consultando currículums de aspirantes en masa.

Ignoro si el captcha se utiliza más allá porque sigue considerándome un bot.

No soy un bot para consultar la ayuda (donde sí se presenta el captcha, y se puede resolver), pero sí para acceder al área de candidatos… (que sólo bloquea y no presenta el captcha).

✖

pepejil martes a las 20:21

⋮

Meter ReCAPTCHA v3 en formularios de login también nos dio algunos quebraderos de cabeza por usuarios que Google etiquetaba como bot.

El problema es que eso Infojobs no tiene el control y Google tampoco te va a dar información sobre por qué te etiqueta como tal.

Pero esto es lo de siempre, o más seguridad o más usabilidad. Es difícil tener ese equilibrio.

✖

balgacio martes a las 20:56

⋮