Laut Justdial wurde ein Datenleck behoben, von dem 100 Millionen Benutzer betroffen waren, aber ein Sicherheitsforscher bestreitet die Behauptungen
Veröffentlicht: 2019-04-16Die Benutzerdaten von Justdial werden seit 2015 ungesichert gespeichert
Der unabhängige Sicherheitsforscher Rajshekhar Rajaharia entdeckte die Lücke
Justdial sagt, dass die Probleme jetzt behoben sind, aber Rajaharia bestreitet diese Behauptung in der letzten Antwort
Ein unabhängiger Sicherheitsforscher hat eine große Sicherheitslücke in der Datenbank der in Mumbai ansässigen hyperlokalen Suchmaschine Justdial entdeckt, die Benutzerdaten von über 100 Millionen Benutzern offengelegt hat.
„Die Verbindung zwischen der Anwendung von Justdial und seiner Datenbank ist nicht geschützt, wodurch Millionen von Benutzerdaten anfällig für Datenschutzverletzungen werden“, sagte Rajshekhar Rajaharia gegenüber Inc42 . Er fügte hinzu, dass die Daten seit 2015 öffentlich zugänglich seien.
In einem Gespräch mit Inc42 sagte Rajeev Nair, Senior Database Architect bei Justdial: „Wir untersuchen das System immer noch auf solche angeblichen Schlupflöcher. Wir haben es die letzten zwei bis drei Tage versucht und soweit es uns betrifft, gibt es kein Schlupfloch. Die meisten unserer Systeme und APIs sind narrensicher und es gibt Sicherheits- und Codierungserweiterungen, die wir darum herum vornehmen.“
Mit mehr als 25 Branchen auf seiner Website begann Justdial als telefonbasiertes lokales Verzeichnis. Das Unternehmen bietet derzeit Dienstleistungen wie Rechnungen und Aufladen, Lebensmittel- und Lebensmittellieferungen an und wickelt Buchungen für Restaurants, Taxis, Kinokarten, Flugtickets, Veranstaltungen und mehr ab.
Justdial hat Niederlassungen in 11 Städten in ganz Indien mit einer Präsenz vor Ort in über 250 indischen Städten, die mehr als 11.000 PIN-Codes abdecken. Das in Mumbai ansässige Unternehmen war im Mai 2013 an die Börse gegangen .
Sensible Informationen ans Licht
Die exponierten Daten könnten zu weiteren Angriffen auf Justdial-Benutzer führen, wenn die Daten von Cyberkriminellen und Hackern verwendet werden. Rajaharia fügte hinzu: „Zusätzlich zu den Telefonnummern und persönlichen Informationen der Benutzer verfolgt das Unternehmen auch den Kauf- und Suchverlauf der Benutzer. Dies sind sensible Daten und können ohne Zustimmung des Benutzers verwendet werden, um gezielte Werbung zu schalten.“
Dazu sagte Nair: „Wir sind eine Datenorganisation und von diesem Standpunkt aus verstehen wir die Sensibilität der Daten, die bei uns vorhanden sind. Genau aus diesem Grund machen wir von unserer Seite aus viel Sicherheit und Verschlüsselung.“
Rajaharia schrieb zuerst in einem Facebook-Post über die offengelegten Daten. „ Lieber Justdial, Ihre 100 Millionen Benutzerdaten, einschließlich Name, E-Mail, Handynummer, Geschlecht, Geburtsdatum, Adresse, Foto, Firma, Beruf und andere Details, sind öffentlich zugänglich “, hatte er gesagt.
Rajahari teilte auch die folgenden Screenshots von Justdials Benutzerdaten, die während seines Rechercheprozesses extrahiert wurden:
Das Schlimmste an dieser Datenschutzverletzung ist, dass sich niemand in die Server von Justdial hacken musste, um auf die Daten zuzugreifen. Rajaharia sagte: „Da die Daten über eine öffentliche URL verfügbar sind und ohne Passwort darauf zugegriffen werden kann, enthält das indische Recht keine Bestimmungen, um den Hacker für eine solche Datenpanne verantwortlich zu machen. Im Falle eines solchen Datenlecks wird nur das Unternehmen strafrechtlich verfolgt.“
Justdial wurde von einem Serienunternehmer VSS Mani gegründet. Das Unternehmen hatte im dritten Quartal des Geschäftsjahres 2019 132,4 Millionen einzelne vierteljährliche Besucher auf seiner Plattform gemeldet. Da 78,5 % der Nutzer von Mobilgeräten kommen, belief sich die kumulierte Anzahl mobiler App-Downloads im Januar 2019 auf 22,8 Millionen. Die Betriebseinnahmen von Justdial im dritten Quartal des Geschäftsjahres 19 beliefen sich auf 2.268 Mio. INR bei einem Nettogewinn von 573 Mio. INR.
Für dich empfohlen:
Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...
Wie Metaverse die indische Automobilindustrie verändern wird
Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...
New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...
Datenlecks auf dem Vormarsch in Indien
Wenn es um Datenlecks im indischen Kontext geht, denken wir zuerst an Aadhaar. Noch im Februar 2019 wurden Aadhaar-Details von über 6,7 Millionen Benutzern mit Details wie Namen, Adressen und Nummern auf der Website von Indane veröffentlicht . Zuvor hatte der französische Cybersicherheitsexperte Baptiste Robert (der auf Twitter unter dem Pseudonym Elliot Alderson bekannt ist) im Jahr 2018 Website -Links hochgeladen, die die Aadhaar-Daten von Tausenden von indischen Bürgern enthielten. Und das sind nur zwei Beispiele unter mehreren Lecks im Zusammenhang mit Aadhaar von staatlichen Stellen.
Andere indische Startups, darunter das in Pune ansässige Fintech-Unternehmen EarlySalary und die Reiseplattform Ixigo , haben ebenfalls Fälle von Datenschutzverletzungen erlebt.
Die indische Regierung unternimmt diesbezüglich auf politischer Ebene einige Schritte. Ende Juli legte ein hochrangiges Gremium unter der Leitung von Richter BN Srikrishna seine Empfehlungen und den Entwurf des Gesetzentwurfs zum Schutz personenbezogener Daten 2018 an IT-Minister Ravi Shankar Prasad vor. Seitdem ist die indische Regierung wegen der Bestimmungen des Gesetzentwurfs mit einer Gegenreaktion von Mitgliedern der Geschäftswelt und Verbänden wie der Internet and Mobile Association of India, NASSCOM und E-Commerce-Unternehmen wie Amazon und Walmart konfrontiert.
Auch die Europäische Union (EU) hatte Vorbehalte gegen den Referentenentwurf geäußert . „Wenn diese Art von Bestimmung umgesetzt wird, würde sie wahrscheinlich auch Datenübertragungen behindern … im Gegensatz zu dem, was manchmal behauptet wird, braucht Indiens aufstrebende Technologieindustrie diese Art von erzwungenen Lokalisierungsmaßnahmen nicht“, schrieb Bruno Gencarelli, Leiter des International Data Flows and Protection Referat bei der Europäischen Kommission (EK) .
Nach dem Facebook-Cambridge Analytica- Skandal erarbeiten und implementieren Regierungen auf der ganzen Welt Gesetze rund um den Datenfluss. Länder wie Japan, Korea und Neuseeland haben bereits Datenschutzgesetze erlassen, die auf dem Prinzip der Datenlokalisierung basieren. In Lateinamerika verabschiedete Brasilien im August 2018 ein eigenes Gesetz, während Chile die Einrichtung einer unabhängigen Datenschutzbehörde ankündigte.
Aktualisierung 1: 17. April 2019 | 17:32 Uhr
Justdial untersucht das Datenleck
Justdial schickte Inc42 eine Erklärung zu den Kommentaren, die dem Artikel hinzugefügt wurden.
Rajeev Nair, Senior Database Architect bei Justdial, sagte: „Wir untersuchen das System immer noch auf solche angeblichen Schlupflöcher. Wir haben es die letzten zwei bis drei Tage versucht und soweit es uns betrifft, gibt es kein Schlupfloch. Die meisten unserer Systeme und APIs sind narrensicher und es gibt Sicherheits- und Codierungserweiterungen, die wir darum herum vornehmen. Wir werden die vom Sicherheitsforscher aufgezeigte Front weiter untersuchen und sie so schnell wie möglich verhaften, wenn es überhaupt eine Lücke wie diese gibt.“
Update 2: 18. April 2019 | 11:05 Uhr
Justdial behauptet, es habe das Problem behoben
Justdial hat uns nun eine weitere Klarstellung zu diesem Sachverhalt zugesandt. Ein Justdial-Sprecher sagte gegenüber Inc42 : „Es gab keine Datenschutzverletzung von 100 Millionen Benutzern usw., wie in Berichten oder anderweitig behauptet. Alle sensiblen Benutzerinformationen, einschließlich aller Finanzinformationen sowie aller Benutzerpasswörter, werden gemäß den Branchenpraktiken geschützt (darüber hinaus arbeitet die Mehrheit der JD-Plattformen mit OTP-basierter Authentifizierung).“ Der Sprecher sagte auch, dass Finanzinformationen auf seinen Plattformen in doppelt verschlüsseltem Format gespeichert und regelmäßig von einer PCI-DSS-konformen Wirtschaftsprüfungsgesellschaft geprüft werden.
„Allerdings verwendeten die älteren Versionen unserer Apps, die derzeit nur einen sehr kleinen Bruchteil unserer Benutzer bedienen, bestimmte APIs, auf deren Grundlage eine bestimmte Mobiltelefonnummer eingegeben wurde, bestimmte grundlegende Benutzerdaten zugänglich waren (es waren keine Finanzinformationen zugänglich). Auch diese Schwachstelle, die auf den älteren App-Plattformen bestand, ist jetzt behoben. Neuere (aktuelle) Versionen der App, in denen die Mehrheit der Benutzer verfügbar ist, weisen die oben genannte Schwachstelle nicht auf“, fügte der Sprecher hinzu, bevor er sagte, dass Justdial eine angemessene Verschlüsselung für die betroffenen älteren APIs implementiert habe. „Während regelmäßig Audits durchgeführt werden, haben wir auch ein unabhängiges Tech-Audit initiiert, um vorhandene Schwachstellen zu identifizieren.“
Das Unternehmen wiederholte, dass es zu keiner Datenschutzverletzung gekommen sei und dass dies von einem unabhängigen Sicherheitsforscher (Name nicht bekannt gegeben) verifiziert worden sei. „Justdial hat ca. 134 Millionen vierteljährliche Unique User (für das im Dezember 2018 endende Quartal) und wir verfügen über robuste Systeme, um sicherzustellen, dass Benutzerinformationen und andere Daten angemessen geschützt bleiben.“
Update 3: 18. April 2019 | 12:50 Uhr
Sicherheitsforscher hinterfragt Behauptungen von Justdial
Als Antwort auf Justdials jüngste Klarstellung oben sagte der Sicherheitsforscher Rajshekhar Rajaharia , der das Problem überhaupt entdeckt hatte, dass das Problem immer noch nicht behoben sei. „Es sind immer noch viele APIs verfügbar, von denen jeder ohne ihre Erlaubnis (Justdial und Benutzer) Tausende oder Laks von SMS auf einmal spammen oder bombardieren kann. Diese APIs verwenden auch kein Token oder andere Authentifizierungs-Captchas. Stellen Sie sich vor, was passiert, wenn jemand mit einem einzigen Klick mit OTP über Ihre API um Mitternacht Tausende von SMS an Ihre Benutzer bombardiert. Sie sollten dort auth oder token verwenden.“
Wir haben uns an Justdial gewandt, um eine Antwort auf diese Behauptungen zu erhalten, und werden unsere Geschichte aktualisieren, sobald wir eine Erklärung erhalten.