يندفع Justdial لسد العديد من التسريبات حيث تصبح بيانات المراجع عامة

نشرت: 2019-04-30

في وقت سابق من هذا الشهر ، كشفت ثغرة في قاعدة بيانات Justdial عن تفاصيل أكثر من 100 مليون مستخدم

ومع ذلك ، ظهرت ثغرة ثانية في قاعدة بيانات مراجعي الشركة

لدى الشركة 134 مليون مستخدم فريد ربع سنوي بشكل عام

في وقت سابق من هذا الشهر ، اكتشف الباحث الأمني ​​المستقل Rajshekhar Rajaharia ثغرة أمنية كبيرة في قاعدة بيانات محرك البحث المحلي الهندي Justdial. كشفت الثغرة عن قاعدة بيانات Justdial لأكثر من 100 مليون مستخدم. تم إصلاح هذه الثغرة من قبل الشركة بعد أسبوع من مشاركة Rajaharia العامة.

ومع ذلك ، اكتشف الباحث مرة أخرى ثغرة (في 29 أبريل) في واجهات برمجة التطبيقات الخاصة بالشركة والتي كشفت عن قاعدة بيانات الشركة المراجع. تم إصلاح الثغرة الثانية في نفس اليوم من تقرير الباحث ، كما قال Rajaharia Inc42 .

"واجهة برمجة التطبيقات المتصلة بقاعدة بيانات Justdial الخاصة بالمراجعين كانت غير محمية منذ تأسيس الشركة. هذه الثغرة تعني أن اسم المراجع ورقم هاتفه المحمول وموقعه كانا متاحين للجمهور على الإنترنت " .

قام Rajaharia بتقديم قضيته بشأن تسرب البيانات الأخير في منشور فيديو -

لتأكيد ذلك ، طلبنا منه سحب بيانات بعض تقييمات المطاعم التي أجراها فريقنا. فيما يلي لقطات من البيانات التي سحبها الباحث -

ردًا على استعلام Inc42 ، قال Justdial إن فريقه قد اتصل بـ Rajaharia وقام بإصلاح المشكلة التي تسببت في خرق البيانات.

قال متحدث باسم Justdial لـ Inc42 في وقت تسريب البيانات السابق ، "جميع معلومات المستخدم الحساسة بما في ذلك أي معلومات مالية وكذلك أي كلمات مرور للمستخدم محمية وفقًا لممارسات الصناعة (علاوة على ذلك ، تعمل غالبية منصات JD على المصادقة المستندة إلى OTP). " قال المتحدث أيضًا إن المعلومات المالية على منصاتها يتم تخزينها بتنسيق مزدوج التشفير ويتم تدقيقها بانتظام من قبل شركة تدقيق متوافقة مع PCI DSS.

ملحمة تسرب البيانات Justdial

في 12 أبريل ، كتب Rajaharia لأول مرة عن بيانات مستخدم Justdial المتاحة للجمهور في منشور على Facebook. قرأ المنشور ، "عزيزي Justdial ، بيانات 100 مليون مستخدم ، بما في ذلك الاسم والبريد الإلكتروني ورقم الهاتف المحمول والجنس والدوب والعنوان والصورة والشركة والوظيفة والتفاصيل الأخرى متاحة للجمهور."

بعد أربعة أيام من منشور Rajaharia العام والمحاولات المتعددة الفاشلة من جانبه للتواصل مع Justdial ، أبلغت Inc42 عن تسرب البيانات لقاعدة بيانات مستخدمي Justdial 100Mn في 16 أبريل.

موصى به لك:

كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند
موارد

كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند

لا يستطيع رواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال "Jugaad": المدير التنفيذي لشركة CitiusTech
أخبار

لا يمكن لرواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال 'Jugaad': المواطنون ...

كيف ستحول Metaverse صناعة السيارات الهندية
موارد

كيف ستحول Metaverse صناعة السيارات الهندية

ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟
موارد

ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟

كيف تساعد الشركات الناشئة في Edtech في الارتقاء بالمهارات وجعل القوى العاملة جاهزة للمستقبل
موارد

كيف تساعد الشركات الناشئة في تكنولوجيا التعليم في تطوير مهارات القوى العاملة في الهند وتصبح جاهزة للمستقبل ...

أخبار

الأسهم التقنية في العصر الجديد هذا الأسبوع: مشاكل Zomato مستمرة ، EaseMyTrip تنشر Stro ...

في 17 أبريل ، استجاب راجيف ناير ، كبير مهندسي قاعدة البيانات في Justdial ، للمطالبات وأخبر Inc42 ، "ما زلنا نحقق في النظام بحثًا عن أي ثغرات مزعومة. لقد كنا نحاول خلال اليومين أو الثلاثة الماضية وبقدر ما نشعر بالقلق لا توجد ثغرة. معظم أنظمتنا وواجهات برمجة التطبيقات لدينا مضمونة وهناك تحسينات أمنية وترميزية نقوم بها حولها. سنستكشف المزيد على الجبهة التي أشار إليها الباحث الأمني ​​ونعتقلها بأسرع ما يمكن ، إذا كان هناك أي ثغرة من هذا القبيل على الإطلاق ".

بعد هذا البيان ، في صباح يوم 18 أبريل ، أرسل Justdial إلى Inc42 توضيحًا إضافيًا يفيد بأنه لم يكن هناك خرق لبيانات 100 مليون مستخدم ، وما إلى ذلك كما ورد في التقارير أو غير ذلك.

لكن في وقت لاحق من اليوم نفسه ، زعمت شركة Rajaharia أن المشكلة لم يتم حلها على الرغم من ادعاءات الشركة. كان قد قال في ذلك الوقت ، "لا يزال هناك الكثير من واجهات برمجة التطبيقات التي يمكن لأي شخص استخدامها لإرسال رسائل غير مرغوب فيها أو قصف آلاف أو lakhs من الرسائل القصيرة دفعة واحدة دون إذن (Justdial أو مستخدميها). لا تستخدم واجهات برمجة التطبيقات هذه أيضًا أي رمز مميز أو أي رمز اختبار CAPTCHA آخر ".

أكد Rajaharia لاحقًا لـ Inc42 أن الثغرة في قاعدة بيانات مستخدم Justdial قد تم إصلاحها عشية يوم 18 أبريل ، لكن أحدث تسرب حول بيانات المراجعين يشير إلى أن المشكلة قد تكون أعمق.

عملاق البيانات مع 134 مليون مستخدم ربع سنوي فريد

تأسست Justdial من قبل رجل الأعمال المتسلسل VSS Mani. تم طرح الشركة التي تتخذ من مومباي مقراً لها للاكتتاب العام في مايو 2013. وفي الربع الثالث من السنة المالية 2019 ، ادعت الشركة أن لديها حوالي 134 مليون زائر ربع سنوي فريد على منصتها.

نظرًا لأن 78.5٪ من مستخدميها قادمون من الأجهزة المحمولة ، فقد بلغت تنزيلات التطبيق التراكمية في يناير 2019 22.8 مليون. بلغت الإيرادات التشغيلية لشركة Justdial في الربع الثالث من العام المالي 2019 ما قيمته 2،268 مليون روبية هندية مع صافي ربح قدره 573 مليون روبية هندية.

مع وجود أكثر من 25 قطاعًا على موقعه على الويب ، بدأ Justdial كدليل محلي قائم على الهاتف. تقدم الشركة حاليًا خدمات مثل الفواتير وإعادة الشحن والبقالة وتوصيل الطعام وتتعامل مع حجوزات المطاعم وسيارات الأجرة وتذاكر السينما وتذاكر الطيران والمناسبات والمزيد.

تدعي Justdial أن لديها فروعًا في 11 مدينة عبر الهند مع وجود على الأرض في أكثر من 250 مدينة هندية تغطي أكثر من 11 ألف رمز سري.

تسريبات البيانات في الشركات الهندية الناشئة

قبل شهرين فقط (فبراير 2019) ، تم الإبلاغ عن تسريب 18 مليون سجل مستخدم لمنصة حجز السفر Ixigo. كشف هذا التسريب أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور المختلطة. تم الإبلاغ عن استخدام Ixigo خوارزمية MD5 قديمة وقديمة لتجزئة كلمات المرور ، والتي كان المتسللون قادرين على حلها بسهولة.

في أكتوبر 2018 ، أبلغت شركة EarlySalary الناشئة في مجال التكنولوجيا المالية ومقرها بيون عن خرق أمني. وقيل إن الخرق أدى إلى اختراق الأسماء وأرقام الهواتف المحمولة التي تم تحميلها من قبل العملاء المحتملين على موقعه على الإنترنت. ومع ذلك ، لا يمكن تحديد عدد السجلات المسربة في ذلك الوقت.

قبل شهر واحد فقط من أخبار EarlySalary ، كانت شركة FreshMenu الناشئة في مجال تكنولوجيا الطعام قد امتلكت أيضًا خرقًا للبيانات من عام 2016. وبحسب ما ورد أثر الاختراق على 110 ألف مستخدم هندي.

قبل ذلك في عام 2017 ، أبلغت شركة اكتشاف المطاعم Zomato أيضًا عن خرق بيانات 17 مليون مستخدم ، وفضح عناوين البريد الإلكتروني للمستخدمين وكلمات المرور المجزأة.

مع تزايد عدد انتهاكات البيانات في البلاد ، اتخذت الحكومة الهندية بعض الخطوات على مستوى السياسة. في يوليو ، قدمت لجنة رفيعة المستوى برئاسة القاضي بي إن سريكريشنا توصياتها ومسودة قانون حماية البيانات الشخصية لعام 2018 إلى وزير تكنولوجيا المعلومات رافي شانكار براساد. منذ ذلك الحين ، واجهت الحكومة الهندية رد فعل عنيف من أعضاء مجتمع الأعمال والجمعيات مثل جمعية الإنترنت والهواتف المحمولة في الهند ، وناسكوم ، وعمالقة التجارة الإلكترونية أمازون وول مارت بشأن أحكام مشروع القانون.