の xxxxxxxxxxxxx
の部分がHTMLに入っていたらしい。
コンテンツはレジュメに対するスカウトのWHYの部分のフィードバックを採用担当者が作文する場所で、ユーザー個人の指名や経歴などが含まれる個所なので運営元も深刻に受け止めているようだ。
当該ページはログインなしでも閲覧できるのでクローラーに何か残ってるか一応調べてみたけど見当たらなかった。
DBから取得したモデルをJSから扱うようにJSONにして埋め込んでおくというケースで似た事故がたまにニュースになるけど、発生時にどういうアーキテクチャになっていたかは不明。
現在のサイトはサーバーサイドのみのレンダリングになっていた。
結果だけ見ると生データを受け取り、「秘密の情報である」いう理由でフロントエンドでJSかCSSでコーディングしてxxxxxxxxxxxxx
でマスクしていたわけで不思議な状況だと思った。
背景
転職ドラフトはなるべく情報を公開できるよう意図してデザインされていると思う。
転職ドラフトでは可能な限り情報を公開し、市場の透明性を高めることが「実力が正当に評価される世界」の実現に不可欠だと考えております。 https://job-draft.jp/articles/461
このxxxxxxxxxxxxx
だらけのページを閲覧することに何の意味がと思ったが、ユーザーはレジュメを公開設定に自由にできるし、指名金額もウィザード級などの謎の用語を使って可視化してくるし一貫性は感じる。
本件のページも他のプラットフォームなら本人ログイン以外はリダイレクトする設計にすると思っていて、転職ドラフトならではでのトラブルだなと思った。
余談
「ソースコードの中に情報があるのをユーザーが発見」というケースはまだわかりやすいけど(といっても1年間発生していたらしい)、内部APIのレスポンスのみに機密情報入っている→HTML側には描画してないというパターンになるとさらに発覚が遅れそうだなと思っている。]
転職ドラフトの件に関して、HTMLソース上に無くてもネットワークログ見るとJSON中には生データ入ってるサービスありそうではある。JavaScriptで動的にページ組み立ててるやつで
— eiryu (@eiryu) 2023年6月19日