• Página principal
  • Artículos
  • Tecnología
  • Justdial dice que se solucionó la fuga de datos que afectaba a 100 millones de usuarios, pero el investigador de seguridad cuestiona las afirmaciones

Justdial dice que se solucionó la fuga de datos que afectaba a 100 millones de usuarios, pero el investigador de seguridad cuestiona las afirmaciones

Publicado: 2019-04-16

Los datos de usuario de Justdial se han almacenado de forma no segura desde 2015

El investigador de seguridad independiente Rajshekhar Rajaharia descubrió la laguna

Justdial dice que los problemas ya están solucionados, pero Rajaharia cuestiona esta afirmación en la última respuesta

Un investigador de seguridad independiente ha descubierto una laguna de seguridad importante en la base de datos del motor de búsqueda hiperlocal con sede en Mumbai, Justdial, que ha expuesto datos de más de 100 millones de usuarios.

“La conexión entre la aplicación de Justdial y su base de datos no está protegida, lo que hace que millones de datos de usuarios sean vulnerables a la filtración de datos”, dijo Rajshekhar Rajaharia a Inc42 . Agregó que los datos pueden ser accedidos públicamente desde 2015.

En una conversación con Inc42, el arquitecto principal de la base de datos de Justdial, Rajeev Nair, dijo: “Todavía estamos investigando el sistema en busca de tales supuestas lagunas. Lo hemos estado intentando durante los últimos dos o tres días y, en lo que a nosotros respecta, no hay escapatoria. La mayoría de nuestros sistemas y API son infalibles y hay mejoras de seguridad y codificación que hacemos a su alrededor”.

Con más de 25 verticales en su sitio web, Justdial comenzó como un directorio local basado en teléfonos. Actualmente, la empresa ofrece servicios como facturas y recargas, entrega de comestibles y alimentos, y maneja reservas para restaurantes, taxis, boletos de cine, boletos de avión, eventos y más.

Justdial tiene sucursales en 11 ciudades de la India con presencia en el terreno en más de 250 ciudades indias que cubren más de 11 000 códigos PIN. La empresa con sede en Bombay se hizo pública en mayo de 2013.

Información sensible al aire libre

Los datos expuestos podrían dar lugar a nuevos ataques a los usuarios de Justdial, si los ciberdelincuentes y los piratas informáticos utilizaran los datos. Rajaharia agregó: “Además del número de teléfono y la información personal de los usuarios, la compañía también rastrea el historial de compras y búsquedas de los usuarios. Estos son datos confidenciales y pueden usarse para realizar anuncios dirigidos sin el consentimiento del usuario”.

A esto, Nair dijo: “Somos una organización de datos y, desde ese punto de vista, entendemos la sensibilidad de los datos que están ahí con nosotros. Precisamente por esta razón, hacemos mucha seguridad y encriptación de nuestra parte”.

Rajaharia escribió por primera vez sobre los datos expuestos en una publicación de Facebook. " Estimado Justdial, los datos de sus 100 millones de usuarios, incluidos el nombre, el correo electrónico, el número de teléfono móvil, el género, el dob, la dirección, la foto, la empresa, la ocupación y otros detalles, son de acceso público ", dijo.

La filtración de datos de JustDial expone datos de 100 millones de usuarios

Rajahari también compartió las siguientes capturas de pantalla de los datos de usuario de Justdial, que se extrajeron durante su proceso de investigación:

La filtración de datos de JustDial expone datos de 100 millones de usuariosLa filtración de datos de JustDial expone datos de 100 millones de usuarios Lo peor de esta violación de datos es que nadie tuvo que piratear los servidores de Justdial para acceder a los datos. Rajaharia dijo: “Como los datos están disponibles a través de una URL pública y se puede acceder a ellos sin una contraseña, la ley india no tiene disposiciones para responsabilizar al pirata informático por tal violación de datos. Solo la empresa será procesada en caso de una fuga de datos de este tipo”.

Justdial fue fundada por un emprendedor en serie VSS Mani. La compañía había informado 132,4 millones de visitantes trimestrales únicos en su plataforma en el tercer trimestre del año fiscal 2019. Con el 78,5% de sus usuarios provenientes de dispositivos móviles, sus descargas acumuladas de aplicaciones móviles en enero de 2019 fueron de 22,8 Mn. Los ingresos operativos de Justdial en el tercer trimestre del año fiscal 2019 fueron de 2268 Mn INR con un beneficio neto de 573 Mn INR.

Recomendado para ti:

Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Recursos

Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India

Los emprendedores no pueden crear nuevas empresas sostenibles y escalables a través de 'Jugaad': CEO de CitiusTech
Noticias

Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...

Cómo Metaverse transformará la industria automotriz india
Recursos

Cómo Metaverse transformará la industria automotriz india

¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Recursos

¿Qué significa la disposición contra la especulación para las nuevas empresas indias?

Cómo las empresas emergentes de Edtech están ayudando a mejorar las habilidades y preparar a la fuerza laboral para el futuro
Recursos

Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...

Noticias

Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...

Fugas de datos en aumento en la India

Cuando se trata de filtraciones de datos en el contexto indio, lo primero que pensamos es Aadhaar. Recientemente, en febrero de 2019, los detalles de Aadhaar de más de 6,7 millones de usuarios que contenían detalles como nombres, direcciones y números se filtraron en el sitio web de Indane . Antes de esto, en 2018, el experto francés en ciberseguridad Baptiste Robert (que usa el seudónimo de Elliot Alderson en Twitter) había subido enlaces a sitios web que contenían los datos de Aadhaar de miles de ciudadanos indios. Y esos son solo dos ejemplos entre múltiples filtraciones relacionadas con Aadhaar de organismos gubernamentales estatales.

Otras nuevas empresas indias, incluida la empresa fintech con sede en Pune EarlySalary y la plataforma de viajes Ixigo , también han sido testigos de casos de violación de datos.

El gobierno indio está dando algunos pasos en este frente a nivel político. A fines de julio , un panel de alto nivel encabezado por el juez BN Srikrishna presentó sus recomendaciones y el proyecto de ley de protección de datos personales de 2018 al ministro de TI, Ravi Shankar Prasad. Desde entonces, el gobierno indio se ha enfrentado a una reacción violenta de miembros de la comunidad empresarial y asociaciones como Internet and Mobile Association of India, NASSCOM y empresas de comercio electrónico como Amazon y Walmart por las disposiciones del proyecto de ley.

La Unión Europea (UE) también había expresado reservas sobre el proyecto de ley . "Si se implementa, este tipo de disposición probablemente también obstaculizaría las transferencias de datos... contrariamente a lo que a veces se sugiere, la pujante industria tecnológica de la India no necesita este tipo de medidas de localización forzada", escribió Bruno Gencarelli, director de International Data Flows and Protection. Unidad en la Comisión Europea (CE) .

Después del escándalo de Facebook-Cambridge Analytica , los gobiernos de todo el mundo están redactando e implementando leyes sobre el flujo de datos. Países como Japón, Corea y Nueva Zelanda ya han aprobado leyes de protección de datos basadas en el principio de localización de datos. Mientras tanto, en América Latina, Brasil aprobó su propia ley en agosto de 2018, mientras que Chile anunció la creación de una autoridad de protección de datos independiente.

Actualización 1: 17 de abril de 2019 | 17:32

Justdial investigando la fuga de datos

Justdial envió a Inc42 una declaración sobre los comentarios que se agregaron al artículo.

El arquitecto principal de la base de datos de Justdial, Rajeev Nair, dijo: “Todavía estamos investigando el sistema en busca de tales supuestas lagunas. Lo hemos estado intentando durante los últimos dos o tres días y, en lo que a nosotros respecta, no hay escapatoria. La mayoría de nuestros sistemas y API son infalibles y hay mejoras de seguridad y codificación que hacemos a su alrededor. Exploraremos más en el frente señalado por el investigador de seguridad y lo arrestaremos tan pronto como podamos, si es que hay alguna escapatoria como esta”.

Actualización 2: 18 de abril de 2019 | 11:05

Justdial afirma que solucionó el problema

Justdial ahora nos ha enviado una aclaración adicional sobre el asunto. Un portavoz de Justdial le dijo a Inc42 : “No ha habido ninguna violación de datos de 100 millones de usuarios, etc., como se afirma en los informes o de otra manera. Toda la información confidencial del usuario, incluida la información financiera, así como las contraseñas de los usuarios, están protegidas según las prácticas de la industria (además, la mayoría de las plataformas de JD funcionan con autenticación basada en OTP)”. El portavoz también dijo que la información financiera en sus plataformas se almacena en formato de doble cifrado y es auditada regularmente por una firma de auditoría que cumple con PCI DSS.

“Sin embargo, las versiones anteriores de nuestras aplicaciones, que actualmente atienden solo a una fracción muy pequeña de nuestros usuarios, usaban ciertas API en base a las cuales se ingresaba un número de teléfono móvil en particular, se podía acceder a ciertos detalles básicos del usuario (no se podía acceder a la información financiera). Esta vulnerabilidad que existía en las plataformas de aplicaciones más antiguas ahora también está solucionada. Las versiones más nuevas (actuales) de la aplicación donde la mayoría de los usuarios están disponibles no tienen la vulnerabilidad anterior”, agregó el portavoz, antes de decir que Justdial ha implementado el cifrado adecuado para las API más antiguas que se vieron afectadas. “Si bien se realizan auditorías periódicas, también hemos iniciado una auditoría técnica independiente para identificar las vulnerabilidades existentes”.

La empresa reiteró que no se produjo ninguna filtración de datos y que ha sido verificada por un investigador de seguridad independiente (nombre no revelado). "Justdial tiene ~134 millones de usuarios únicos trimestrales (para el trimestre que finalizó en diciembre de 2018) y contamos con sistemas sólidos para garantizar que la información del usuario y otros datos permanezcan adecuadamente protegidos".

Actualización 3: 18 de abril de 2019 | 12:50

Investigador de seguridad cuestiona las afirmaciones de Justdial

En respuesta a la última aclaración de Justdial anterior, el investigador de seguridad Rajshekhar Rajaharia , quien descubrió el problema en primer lugar, dijo que el problema aún no está solucionado. “Todavía hay muchas API disponibles desde las que cualquiera puede enviar spam o bombardear miles o miles de SMS a la vez sin su permiso (de Justdial y de los usuarios). Estas API tampoco usan ningún token ni ningún otro captcha de autenticación. Piense en lo que sucede si alguien bombardea miles de SMS a sus usuarios con un solo clic con OTP usando su API a la medianoche. Deberías usar autenticación o token allí”.

fuga de datos de solo marcar

Nos comunicamos con Justdial para obtener su respuesta a estos reclamos y actualizaremos nuestra historia tan pronto como recibamos una declaración.