Justdial bemüht sich, mehrere Leaks zu stopfen, wenn Prüferdaten veröffentlicht werden
Veröffentlicht: 2019-04-30Anfang dieses Monats enthüllte eine Lücke in der Justdial-Datenbank Details von über 100 Millionen Benutzern
In der Rezensentendatenbank des Unternehmens tauchte jedoch eine zweite Lücke auf
Das Unternehmen hat insgesamt 134 Millionen einzelne vierteljährliche Benutzer
Anfang dieses Monats entdeckte der unabhängige Sicherheitsforscher Rajshekhar Rajaharia eine große Sicherheitslücke in der Datenbank der indischen hyperlokalen Suchmaschine Justdial. Die Lücke hatte die Datenbank von Justdial mit über 100 Millionen Benutzern offengelegt. Dieses Schlupfloch wurde vom Unternehmen nach einer Woche von Rajaharias öffentlichem Posten behoben.
Der Forscher hatte jedoch (am 29. April) erneut eine Lücke in den APIs des Unternehmens entdeckt, die die Datenbank des Prüfers des Unternehmens offenlegte. Das zweite Schlupfloch wurde am selben Tag des Forscherberichts behoben, sagte Rajaharia gegenüber Inc42 .
„Die mit der Rezensentendatenbank von Justdial verbundene API war seit der Gründung des Unternehmens ungeschützt. Diese Lücke bedeutet, dass der Name, die Handynummer und der Standort des Rezensenten im Internet öffentlich verfügbar waren“, sagte Rajaharia gegenüber Inc42.
Rajaharia hatte in einem Videobeitrag seinen Fall zum jüngsten Datenleck vorgebracht –
Um dies zu bestätigen, haben wir ihn gebeten, die Daten einiger Restaurantbewertungen unseres Teams herauszuholen. Es folgen die Screenshots der vom Forscher herausgezogenen Daten –
Als Antwort auf eine Inc42 - Anfrage sagte ein Justdial, dass sein Team Rajaharia kontaktiert und das Problem behoben habe, das die Datenschutzverletzung verursacht habe.
Ein Justdial-Sprecher hatte Inc42 zum Zeitpunkt des früheren Datenlecks gesagt : „Alle sensiblen Benutzerinformationen, einschließlich aller Finanzinformationen, sowie alle Benutzerkennwörter sind gemäß den Branchenpraktiken geschützt (außerdem arbeitet die Mehrheit der JD-Plattformen mit OTP-basierter Authentifizierung). ” Der Sprecher sagte auch, dass Finanzinformationen auf seinen Plattformen in doppelt verschlüsseltem Format gespeichert und regelmäßig von einer PCI-DSS-konformen Wirtschaftsprüfungsgesellschaft geprüft werden.
Die Justdial-Datenleck-Saga
Am 12. April schrieb Rajaharia erstmals in einem Facebook-Post über die öffentlich zugänglichen Justdial-Benutzerdaten. Der Beitrag lautete: „Lieber Justdial, Ihre 100-Millionen-Benutzerdaten, einschließlich Name, E-Mail, Handynummer, Geschlecht, Geburtsdatum, Adresse, Foto, Firma, Beruf und andere Details, sind öffentlich zugänglich.“
Vier Tage nach dem öffentlichen Post von Rajaharia und mehreren fehlgeschlagenen Versuchen seinerseits, sich mit Justdial zu verbinden, meldete Inc42 am 16.
Für dich empfohlen:
Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...
Wie Metaverse die indische Automobilindustrie verändern wird
Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...
New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...
Am 17. April antwortete Rajeev Nair, leitender Datenbankarchitekt von Justdial, schließlich auf die Behauptungen und teilte Inc42 mit: „Wir untersuchen das System immer noch auf solche angeblichen Schlupflöcher. Wir haben es die letzten zwei bis drei Tage versucht und soweit es uns betrifft, gibt es kein Schlupfloch. Die meisten unserer Systeme und APIs sind narrensicher und es gibt Sicherheits- und Codierungserweiterungen, die wir darum herum vornehmen. Wir werden die von Sicherheitsforschern aufgezeigte Front weiter untersuchen und sie so schnell wie möglich verhaften, wenn es überhaupt eine Lücke wie diese gibt.“
Nach dieser Erklärung schickte Justdial am Morgen des 18. April eine weitere Klarstellung an Inc42, in der es hieß, dass es keine Datenschutzverletzung von 100 Millionen Benutzern usw. gegeben habe, wie in Berichten oder anderweitig behauptet.
Später am selben Tag behauptete Rajaharia jedoch, dass das Problem trotz der Behauptungen des Unternehmens nicht behoben worden sei. Er hatte damals gesagt: „Es sind immer noch viele APIs verfügbar, mit denen jeder Tausende oder Lakhs von SMS ohne ihre Erlaubnis (Justdial oder seine Benutzer) auf einmal spammen oder bombardieren kann. Diese APIs verwenden auch kein Token oder andere Authentifizierungs-Captchas.“
Rajaharia bestätigte später gegenüber Inc42 , dass das Schlupfloch in der Benutzerdatenbank von Justdial bis zum 18. April behoben wurde, das jüngste Leck in Bezug auf Daten von Rezensenten deutet jedoch darauf hin, dass das Problem tiefer gehen könnte.
Datenriese mit 134 Millionen Unique Usern pro Quartal
Justdial wurde von einem Serienunternehmer VSS Mani gegründet. Das in Mumbai ansässige Unternehmen war im Mai 2013 an die Börse gegangen. Im dritten Quartal des Geschäftsjahres 2019 gab das Unternehmen an, rund 134 Millionen einzelne vierteljährliche Besucher auf seiner Plattform zu haben.
Da 78,5 % der Nutzer von Mobilgeräten kommen, beliefen sich die kumulierten App-Downloads im Januar 2019 auf 22,8 Millionen. Die Betriebseinnahmen von Justdial im dritten Quartal des Geschäftsjahres 19 beliefen sich auf 2.268 Mio. INR bei einem Nettogewinn von 573 Mio. INR.
Mit mehr als 25 Branchen auf seiner Website wurde Justdial als telefonbasiertes lokales Verzeichnis gestartet. Das Unternehmen bietet derzeit Dienstleistungen wie Rechnungen und Aufladen, Lebensmittel- und Lebensmittellieferungen an und wickelt Buchungen für Restaurants, Taxis, Kinokarten, Flugtickets, Veranstaltungen und mehr ab.
Justdial behauptet, Niederlassungen in 11 Städten in ganz Indien mit einer Präsenz vor Ort in über 250 indischen Städten zu haben, die mehr als 11.000 PIN-Codes abdecken.
Datenlecks in indischen Startups
Erst vor zwei Monaten (Februar 2019) wurde berichtet, dass die Reisebuchungsplattform Ixigo 18 Millionen Benutzerdatensätze geleakt hat. Dieses Leck hatte Benutzernamen, E-Mail-Adressen und verschlüsselte Passwörter offengelegt. Es wurde berichtet, dass Ixigo einen alten und veralteten MD5-Hashing-Algorithmus verwendet hat, um Passwörter zu verschlüsseln, die Hacker leicht entschlüsseln konnten.
Im Oktober 2018 meldete auch das in Pune ansässige Fintech-Startup EarlySalary eine Sicherheitslücke. Der Verstoß soll die von potenziellen Kunden auf seiner Website hochgeladenen Namen und Handynummern kompromittiert haben. Die Anzahl der durchgesickerten Aufzeichnungen konnte zu diesem Zeitpunkt jedoch nicht ermittelt werden.
Nur einen Monat vor den EarlySalary-Nachrichten hatte auch das Foodtech-Startup FreshMenu eine Datenpanne aus dem Jahr 2016 eingestanden. Berichten zufolge waren 110.000 indische Benutzer von der Verletzung betroffen.
Zuvor, im Jahr 2017, meldete auch das Restaurant-Discovery-Unternehmen Zomato die Datenschutzverletzung von 17 Millionen Benutzern, wobei die E-Mail-Adressen und gehashten Passwörter der Benutzer offengelegt wurden.
Angesichts der zunehmenden Zahl von Datenschutzverletzungen im Land hat die indische Regierung einige Schritte auf politischer Ebene unternommen. Im Juli legte ein hochrangiges Gremium unter der Leitung von Richter BN Srikrishna seine Empfehlungen und den Entwurf des Gesetzentwurfs zum Schutz personenbezogener Daten 2018 dem IT-Minister Ravi Shankar Prasad vor. Seitdem sieht sich die indische Regierung wegen der Bestimmungen des Gesetzentwurfs einer Gegenreaktion von Mitgliedern der Geschäftswelt und Verbänden wie der Internet and Mobile Association of India, NASSCOM und den E-Commerce-Giganten Amazon und Walmart ausgesetzt.