يقول Justdial إن تسرب البيانات الذي أصاب 100 مليون مستخدم قد تم إصلاحه ، لكن باحث الأمن يعترض على المطالبات
نشرت: 2019-04-16تم تخزين بيانات مستخدم Justdial بطريقة غير آمنة منذ عام 2015
اكتشف الباحث الأمني المستقل Rajshekhar Rajaharia الثغرة
يقول Justdial أن المشكلات قد تم حلها الآن ، لكن Rajaharia يعارض هذا الادعاء في الرد الأخير
اكتشف باحث أمني مستقل ثغرة أمنية كبيرة في قاعدة بيانات Justdial لمحرك البحث المحلي ومقرها مومباي والتي كشفت عن بيانات مستخدم من أكثر من 100 مليون مستخدم.
قال Rajshekhar Rajaharia لـ Inc42 : "الاتصال بين تطبيق Justdial وقاعدة البيانات الخاصة به غير محمي ، مما يجعل الملايين من بيانات المستخدم عرضة لخرق البيانات" . وأضاف أنه يمكن الوصول إلى البيانات للجمهور منذ عام 2015.
في محادثة مع Inc42 ، قال كبير مهندسي قواعد البيانات في Justdial ، راجيف ناير ، "ما زلنا نحقق في النظام بحثًا عن أي ثغرات مزعومة. لقد كنا نحاول خلال اليومين أو الثلاثة الماضية وبقدر ما نشعر بالقلق لا توجد ثغرة. معظم أنظمتنا وواجهات برمجة التطبيقات لدينا مضمونة ، وهناك تحسينات أمنية وترميزية نقوم بها حولها ".
مع وجود أكثر من 25 قطاعًا على موقعه على الويب ، بدأ Justdial كدليل محلي قائم على الهاتف. تقدم الشركة حاليًا خدمات مثل الفواتير وإعادة الشحن والبقالة وتوصيل الطعام وتتعامل مع حجوزات المطاعم وسيارات الأجرة وتذاكر السينما وتذاكر الطيران والمناسبات والمزيد.
لدى Justdial فروع في 11 مدينة عبر الهند مع وجود على الأرض في أكثر من 250 مدينة هندية تغطي أكثر من 11 ألف رمز سري. تم طرح الشركة التي تتخذ من مومباي مقراً لها في مايو 2013.
المعلومات الحساسة في العراء
يمكن أن تؤدي البيانات المكشوفة إلى مزيد من الهجمات على مستخدمي Justdial ، إذا تم استخدام البيانات من قبل مجرمي الإنترنت والمتسللين. وأضاف راجاهية: "بالإضافة إلى رقم هاتف المستخدمين والمعلومات الشخصية ، تتعقب الشركة أيضًا سجل الشراء والبحث الخاص بالمستخدم. هذه بيانات حساسة ويمكن استخدامها لتنفيذ إعلانات مستهدفة دون موافقة المستخدم ".
وفي هذا الصدد ، قال ناير: "نحن مؤسسة بيانات ومن هذا المنظور ، نفهم حساسية البيانات الموجودة معنا. لهذا السبب بالتحديد ، نقوم بالكثير من الأمان والتشفير من طرفنا ".
كتب Rajaharia لأول مرة عن البيانات المكشوفة في منشور على Facebook. " عزيزي Justdial ، بيانات 100 مليون مستخدم الخاصة بك بما في ذلك الاسم والبريد الإلكتروني ورقم الهاتف المحمول والجنس والدوب والعنوان والصورة والشركة والوظيفة وغيرها من التفاصيل متاحة للجمهور " ، قال.
كما شارك Rajahari لقطات الشاشة التالية لبيانات مستخدم Justdial ، والتي تم استخراجها أثناء عملية البحث الخاصة به:
ما هو أسوأ في خرق البيانات هذا هو أنه لم يضطر أحد إلى اختراق خوادم Justdial للوصول إلى البيانات. قال Rajaharia: "نظرًا لأن البيانات متاحة من خلال عنوان URL عام ويمكن الوصول إليها بدون كلمة مرور ، فإن القانون الهندي لا يحتوي على أحكام لتحميل المتسلل المسؤولية عن مثل هذا الانتهاك للبيانات. ستتم مقاضاة الشركة فقط في حالة حدوث مثل هذا تسرب للبيانات ".
تأسست Justdial من قبل رجل الأعمال المتسلسل VSS Mani. أبلغت الشركة عن 132.4 مليون زائر ربع سنوي فريد على منصتها في الربع الثالث من السنة المالية 2019. نظرًا لأن 78.5٪ من مستخدميها قادمون من الأجهزة المحمولة ، فقد بلغت التنزيلات التراكمية لتطبيقات الهاتف المحمول في يناير 2019 22.8 مليون. بلغت الإيرادات التشغيلية لشركة Justdial في الربع الثالث من العام المالي 2019 ما قيمته 2،268 مليون روبية هندية مع صافي ربح قدره 573 مليون روبية هندية.
موصى به لك:
كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند
لا يمكن لرواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال 'Jugaad': المواطنون ...
كيف ستحول Metaverse صناعة السيارات الهندية
ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟
كيف تساعد الشركات الناشئة في تكنولوجيا التعليم في تطوير مهارات القوى العاملة في الهند وتصبح جاهزة للمستقبل ...
الأسهم التقنية في العصر الجديد هذا الأسبوع: مشاكل Zomato مستمرة ، EaseMyTrip تنشر Stro ...
تسرب البيانات في ازدياد في الهند
عندما يتعلق الأمر بتسرب البيانات في السياق الهندي ، فإن أول شيء نفكر فيه هو Aadhaar. مؤخرًا في فبراير 2019 ، تم تسريب تفاصيل Aadhaar لأكثر من 6.7 مليون مستخدم تحتوي على تفاصيل مثل الأسماء والعناوين والأرقام على موقع Indane الإلكتروني . قبل ذلك في عام 2018 ، قام خبير الأمن السيبراني الفرنسي بابتيست روبرت (الذي يحمل الاسم المستعار إليوت ألدرسون على تويتر) بتحميل روابط مواقع الويب التي تحتوي على بيانات آدار لآلاف المواطنين الهنود. وهذا مجرد مثالين من بين العديد من التسريبات المتعلقة بـ Aadhaar من الهيئات الحكومية بالولاية.
وشهدت شركات هندية ناشئة أخرى ، بما في ذلك شركة التكنولوجيا المالية EarlySalary ومقرها بيون ومنصة السفر Ixigo ، حالات خرق للبيانات.
تتخذ الحكومة الهندية بعض الخطوات على هذه الجبهة على مستوى السياسات. في نهاية يوليو ، قدمت لجنة رفيعة المستوى برئاسة القاضي بي إن سريكريشنا توصياتها ومسودة قانون حماية البيانات الشخصية لعام 2018 إلى وزير تكنولوجيا المعلومات رافي شانكار براساد. منذ ذلك الحين ، واجهت الحكومة الهندية رد فعل عنيف من أعضاء مجتمع الأعمال والجمعيات مثل جمعية الإنترنت والهواتف المحمولة في الهند وناسكوم وشركات التجارة الإلكترونية مثل أمازون وول مارت بسبب أحكام مشروع القانون.
كما أعرب الاتحاد الأوروبي عن تحفظاته بشأن مشروع القانون . كتب برونو جينكاريللي ، رئيس قسم تدفقات البيانات الدولية والحماية وحدة في المفوضية الأوروبية (EC) .
بعد فضيحة Facebook-Cambridge Analytica ، تقوم الحكومات في جميع أنحاء العالم بصياغة وتنفيذ قوانين حول تدفق البيانات. أقرت دول مثل اليابان وكوريا ونيوزيلندا بالفعل قوانين حماية البيانات بناءً على مبدأ توطين البيانات. وفي الوقت نفسه ، في أمريكا اللاتينية ، أصدرت البرازيل قانونها الخاص في أغسطس 2018 ، بينما أعلنت تشيلي إنشاء هيئة مستقلة لحماية البيانات.
التحديث الأول: 17 أبريل 2019 | 5:32 م
Justdial التحقيق في تسرب البيانات
أرسل Justdial Inc42 بيانًا حول التعليقات التي تمت إضافتها إلى المقالة.
قال كبير مهندسي قاعدة البيانات في Justdial ، راجيف ناير ، "ما زلنا نحقق في النظام بحثًا عن أي ثغرات مزعومة. لقد كنا نحاول خلال اليومين أو الثلاثة الماضية وبقدر ما نشعر بالقلق لا توجد ثغرة. معظم أنظمتنا وواجهات برمجة التطبيقات لدينا مضمونة ، وهناك تحسينات أمنية وترميزية نقوم بها حولها. سنستكشف المزيد في المقدمة التي أشار إليها الباحث الأمني ونعتقلها بأسرع ما يمكن ، إذا كان هناك أي ثغرة كهذه على الإطلاق ".
التحديث الثاني: 18 أبريل 2019 | 11:05 صباحا
يدعي Justdial أنه أصلح المشكلة
لقد أرسل لنا Justdial الآن توضيحًا إضافيًا حول هذه المسألة. قال متحدث باسم Justdial لـ Inc42 ، "لم يكن هناك خرق لبيانات 100 مليون مستخدم ، وما إلى ذلك كما تدعي التقارير أو غير ذلك. جميع معلومات المستخدم الحساسة بما في ذلك أي معلومات مالية وكذلك أي كلمات مرور للمستخدم محمية وفقًا لممارسات الصناعة (علاوة على ذلك ، تعمل غالبية منصات JD على المصادقة المستندة إلى OTP). " قال المتحدث أيضًا إن المعلومات المالية على منصاتها يتم تخزينها بتنسيق مزدوج التشفير ويتم تدقيقها بانتظام من قبل شركة تدقيق متوافقة مع PCI DSS.
"ومع ذلك ، فإن الإصدارات القديمة من تطبيقاتنا ، والتي لا تلبي حاليًا سوى جزء صغير جدًا من مستخدمينا ، كانت تستخدم واجهات برمجة تطبيقات معينة على أساس إدخال رقم هاتف محمول معين ، ويمكن الوصول إلى بعض تفاصيل المستخدم الأساسية (لم يكن من الممكن الوصول إلى معلومات مالية). تم الآن أيضًا إصلاح مشكلة عدم الحصانة التي كانت موجودة على منصات التطبيقات القديمة. وأضاف المتحدث ، قبل أن يقول أن Justdial نفذت تشفيرًا مناسبًا لواجهات برمجة التطبيقات القديمة التي تأثرت ، فإن الإصدارات الأحدث (الحالية) من التطبيق حيث يتوفر غالبية المستخدمين لا تحتوي على الثغرة الأمنية المذكورة أعلاه. "على الرغم من إجراء عمليات تدقيق منتظمة ، فقد بدأنا أيضًا تدقيقًا تقنيًا مستقلًا لتحديد أي ثغرات أمنية موجودة."
كررت الشركة عدم حدوث أي خرق للبيانات وأنه تم التحقق من ذلك من قبل باحث أمني مستقل (لم يتم الكشف عن الاسم). "لدى Justdial ما يقرب من 134 مليون مستخدم فريد ربع سنوي (للربع المنتهي في ديسمبر 2018) ولدينا أنظمة قوية لضمان بقاء معلومات المستخدم والبيانات الأخرى محمية بشكل كاف."
التحديث 3: 18 أبريل 2019 | 12:50 مساءً
باحث الأمن يشكك في ادعاءات Justdial
رداً على التوضيح الأخير من Justdial أعلاه ، قال الباحث الأمني Rajshekhar Rajaharia ، الذي اكتشف المشكلة في المقام الأول ، إن المشكلة لم يتم حلها بعد. "لا يزال هناك الكثير من واجهات برمجة التطبيقات التي يمكن لأي شخص من خلالها إرسال رسائل غير مرغوب فيها أو قصف آلاف أو آلاف الرسائل القصيرة في وقت واحد دون إذن (Justdial والمستخدمين). لا تستخدم واجهات برمجة التطبيقات هذه أيضًا أي رمز مميز أو أي رمز التحقق من صحة المصادقة. فكر في ما يحدث إذا قام شخص ما بقصف عدد كبير من الرسائل القصيرة للمستخدمين بنقرة واحدة باستخدام OTP باستخدام واجهة برمجة التطبيقات الخاصة بك في منتصف الليل. يجب عليك استخدام المصادقة أو الرمز المميز هناك ".
لقد تواصلنا مع Justdial للحصول على ردهم على هذه الادعاءات ، وسنقوم بتحديث قصتنا بمجرد أن نتلقى بيانًا.