Justdial se esfuerza por tapar múltiples fugas a medida que los datos del revisor se hacen públicos
Publicado: 2019-04-30A principios de este mes, una laguna en la base de datos de Justdial expuso detalles de sus más de 100 millones de usuarios.
Sin embargo, apareció una segunda laguna en la base de datos de revisores de la empresa.
La empresa tiene 134 millones de usuarios únicos trimestrales en general
A principios de este mes, un investigador de seguridad independiente, Rajshekhar Rajaharia, descubrió una laguna de seguridad importante en la base de datos del motor de búsqueda hiperlocal indio Justdial. La escapatoria había expuesto la base de datos de Justdial de más de 100 millones de usuarios. Esta laguna fue solucionada por la empresa después de una semana de la publicación pública de Rajaharia.
Sin embargo, el investigador descubrió nuevamente una laguna (el 29 de abril) en las API de la empresa que expuso la base de datos del revisor de la empresa. La segunda laguna se solucionó el mismo día del informe del investigador, dijo Rajaharia a Inc42 .
“La API conectada a la base de datos de revisores de Justdial ha estado desprotegida desde la fundación de la empresa. Esta laguna significa que el nombre, el número de teléfono móvil y la ubicación del revisor estaban disponibles públicamente en Internet”, dijo Rajaharia a Inc42.
Rajaharia había presentado su caso sobre la reciente fuga de datos en una publicación de video:
Para confirmarlo, le pedimos que sacara los datos de algunas reseñas de restaurantes realizadas por nuestro equipo. Las siguientes son las capturas de pantalla de los datos extraídos por el investigador:
En respuesta a una consulta de Inc42 , Justdial dijo que su equipo se había puesto en contacto con Rajaharia y había solucionado el problema que había causado la violación de datos.
Un portavoz de Justdial le había dicho a Inc42 en el momento de la fuga de datos anterior : “Toda la información confidencial del usuario, incluida la información financiera, así como las contraseñas de los usuarios, están protegidas según las prácticas de la industria (además, la mayoría de las plataformas JD funcionan con autenticación basada en OTP). ” El portavoz también ha dicho que la información financiera en sus plataformas se almacena en formato de doble cifrado y es auditada regularmente por una firma de auditoría que cumple con PCI DSS.
La saga de fugas de datos de Justdial
El 12 de abril, Rajaharia escribió por primera vez sobre los datos de usuario de Justdial disponibles públicamente en una publicación de Facebook. La publicación decía: "Estimado Justdial, los datos de sus 100 millones de usuarios, incluidos el nombre, el correo electrónico, el número de teléfono móvil, el género, el domicilio, la dirección, la foto, la empresa, la ocupación y otros detalles, son de acceso público".
Cuatro días después de la publicación pública de Rajaharia y varios intentos fallidos de su parte para conectarse con Justdial, Inc42 informó la fuga de datos de la base de datos de 100 millones de usuarios de Justdial el 16 de abril.
Recomendado para ti:
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
El 17 de abril, el arquitecto principal de la base de datos de Justdial, Rajeev Nair, finalmente respondió a los reclamos y le dijo a Inc42 : “Todavía estamos investigando el sistema en busca de tales supuestas lagunas. Lo hemos estado intentando durante los últimos dos o tres días y, en lo que a nosotros respecta, no hay escapatoria. La mayoría de nuestros sistemas y API son infalibles y hay mejoras de seguridad y codificación que hacemos a su alrededor. Exploraremos más en el frente señalado por el investigador de seguridad y lo arrestaremos tan pronto como podamos, si es que hay alguna escapatoria como esta”.
Luego de esta declaración, en la mañana del 18 de abril, Justdial envió a Inc42 una aclaración adicional que indica que no ha habido una violación de datos de 100 millones de usuarios, etc., como se afirma en los informes o de otra manera.
Sin embargo, más tarde ese mismo día, Rajaharia afirmó que el problema no se había solucionado a pesar de las afirmaciones de la empresa. Había dicho en ese momento: “Todavía hay muchas API disponibles que cualquiera puede usar para enviar spam o bombardear miles o miles de SMS a la vez sin su permiso (de Justdial o de sus usuarios). Estas API tampoco usan ningún token ni ningún otro captcha de autenticación”.
Rajaharia luego confirmó a Inc42 que la laguna en la base de datos de usuarios de Justdial se solucionó en la víspera del 18 de abril, sin embargo, la última filtración de datos de los revisores indica que el problema puede ser más profundo.
Gigante de datos con 134 millones de usuarios únicos trimestrales
Justdial fue fundada por un emprendedor en serie VSS Mani. La empresa con sede en Mumbai se hizo pública en mayo de 2013. En el tercer trimestre del año fiscal 2019, la empresa afirmó tener alrededor de 134 millones de visitantes trimestrales únicos en su plataforma.
Con un 78,5% de sus usuarios provenientes de dispositivos móviles, sus descargas acumuladas de aplicaciones en enero de 2019 fueron de 22,8 Mn. Los ingresos operativos de Justdial en el tercer trimestre del año fiscal 2019 fueron de 2268 Mn INR con un beneficio neto de 573 Mn INR.
Con más de 25 verticales en su sitio web, Justdial se inició como un directorio local basado en teléfonos. Actualmente, la empresa ofrece servicios como facturas y recargas, entrega de comestibles y alimentos, y maneja reservas para restaurantes, taxis, boletos de cine, boletos de avión, eventos y más.
Justdial afirma tener sucursales en 11 ciudades de la India con presencia en el terreno en más de 250 ciudades indias que cubren más de 11 000 códigos PIN.
Fugas de datos en startups indias
Hace solo dos meses (febrero de 2019), se informó que la plataforma de reserva de viajes Ixigo filtró 18 millones de registros de usuarios. Esta filtración expuso el nombre de los usuarios, las direcciones de correo electrónico y las contraseñas codificadas. Se informó que Ixigo usó un algoritmo hash MD5 antiguo y obsoleto para cifrar contraseñas, que los piratas informáticos pudieron descifrar fácilmente.
En octubre de 2018, la startup fintech EarlySalary, con sede en Pune, también informó sobre una brecha de seguridad. Se dijo que la violación comprometió los nombres y números de teléfonos móviles cargados por clientes potenciales en su sitio web. Sin embargo, la cantidad de registros filtrados no se pudo determinar en ese momento.
Solo un mes antes de las noticias de EarlySalary, la startup de tecnología alimentaria FreshMenu también había reconocido una violación de datos de 2016. Según los informes, la violación afectó a 110 000 usuarios indios.
Antes de esto, en 2017, la empresa de descubrimiento de restaurantes Zomato también informó la violación de datos de 17 millones de usuarios, exponiendo las direcciones de correo electrónico y las contraseñas cifradas de los usuarios.
Con el creciente número de violaciones de datos en el país, el gobierno indio ha estado tomando algunas medidas a nivel de políticas. En julio , un panel de alto nivel encabezado por el juez BN Srikrishna presentó sus recomendaciones y el proyecto de ley de protección de datos personales de 2018 al ministro de TI, Ravi Shankar Prasad. Desde entonces, el gobierno indio se ha enfrentado a una reacción violenta de miembros de la comunidad empresarial y asociaciones como Internet and Mobile Association of India, NASSCOM y los gigantes del comercio electrónico Amazon y Walmart por las disposiciones del proyecto de ley.