Justdial déclare qu'une fuite de données affectant 100 millions d'utilisateurs a été corrigée, mais un chercheur en sécurité conteste les allégations

Un chercheur indépendant en sécurité a découvert une faille de sécurité majeure dans la base de données du moteur de recherche hyperlocal Justdial basé à Mumbai, qui a exposé les données d'utilisateurs de plus de 100 millions d'utilisateurs.

"La connexion entre l'application Justdial et sa base de données n'est pas protégée, ce qui rend des millions de données d'utilisateurs vulnérables à la violation de données", a déclaré Rajshekhar Rajaharia à Inc42 . Il a ajouté que les données pouvaient être consultées publiquement depuis 2015.

Lors d'une conversation avec Inc42, l'architecte principal de la base de données de Justdial, Rajeev Nair, a déclaré : « Nous enquêtons toujours sur le système pour détecter de telles failles présumées. Nous essayons depuis deux ou trois jours et en ce qui nous concerne, il n'y a pas d'échappatoire. La plupart de nos systèmes et API sont infaillibles et il y a des enrichissements de sécurité et de codage que nous faisons autour.

Avec plus de 25 secteurs verticaux sur son site Web, Justdial a commencé comme un annuaire local basé sur le téléphone. La société propose actuellement des services tels que les factures et la recharge, la livraison d'épicerie et de nourriture, et gère les réservations de restaurants, de taxis, de billets de cinéma, de billets d'avion, d'événements et plus encore.

Justdial a des succursales dans 11 villes à travers l'Inde avec une présence sur le terrain dans plus de 250 villes indiennes couvrant plus de 11 000 codes PIN. La société basée à Mumbai était devenue publique en mai 2013.

Informations sensibles diffusées au grand jour

Les données exposées pourraient conduire à de nouvelles attaques contre les utilisateurs de Justdial, si les données étaient utilisées par des cybercriminels et des pirates. Rajaharia a ajouté : « En plus du numéro de téléphone et des informations personnelles des utilisateurs, la société suit également l'historique d'achat et de recherche de l'utilisateur. Ce sont des données sensibles et peuvent être utilisées pour réaliser des publicités ciblées sans le consentement de l'utilisateur.

À cela, Nair a déclaré: «Nous sommes une organisation de données et de ce point de vue, nous comprenons la sensibilité des données qui sont là avec nous. C'est précisément pour cette raison que nous effectuons beaucoup de sécurité et de cryptage de notre côté.

Rajaharia a écrit pour la première fois sur les données exposées dans un article sur Facebook. " Cher Justdial, les données de vos 100 millions d'utilisateurs, y compris le nom, l'e-mail, le numéro de téléphone portable, le sexe, la date de naissance, l'adresse, la photo, la société, la profession et d'autres détails, sont accessibles au public ", avait-il déclaré.

Rajahari a également partagé les captures d'écran suivantes des données utilisateur de Justdial, qui ont été extraites au cours de son processus de recherche :

Le pire dans cette violation de données, c'est que personne n'a eu à pirater les serveurs de Justdial pour accéder aux données. Rajaharia a déclaré: «Comme les données sont disponibles via une URL publique et peuvent être consultées sans mot de passe, la loi indienne ne prévoit pas de dispositions pour tenir le pirate responsable d'une telle violation de données. Seule l'entreprise sera poursuivie en cas de fuite de données.

Justdial a été fondée par un entrepreneur en série VSS Mani. La société avait signalé 132,4 millions de visiteurs trimestriels uniques sur sa plateforme au troisième trimestre de l'exercice 2019. Avec 78,5 % de ses utilisateurs provenant du mobile, ses téléchargements cumulés d'applications mobiles en janvier 2019 s'élevaient à 22,8 millions. Les revenus d'exploitation de Justdial au T3 de l'exercice 2019 étaient de 2 268 millions INR avec un bénéfice net de 573 millions INR.

Recommandé pour vous:

Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Amit Das

31 juillet 2022

Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Jaspreet K.

31 juillet 2022

Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Vaibhav S.

31 juillet 2022

Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Charana L.

31 juillet 2022

Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Ankush S.

31 juillet 2022

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Tapanjana R.

31 juillet 2022

Les fuites de données en hausse en Inde

En ce qui concerne les fuites de données dans le contexte indien, la première chose à laquelle nous pensons est Aadhaar. Pas plus tard qu'en février 2019, les détails d'Aadhaar sur plus de 6,7 millions d'utilisateurs contenant des détails tels que les noms, les adresses et les numéros ont été divulgués sur le site Web d'Indane . Auparavant, en 2018, l'expert français en cybersécurité Baptiste Robert (qui porte le pseudonyme d'Elliot Alderson sur Twitter) avait mis en ligne des liens de sites Web contenant les données Aadhaar de milliers de citoyens indiens. Et ce ne sont que deux exemples parmi les multiples fuites liées à Aadhaar provenant d'organismes gouvernementaux de l'État.

D'autres startups indiennes, dont la société de technologie financière EarlySalary basée à Pune et la plateforme de voyage Ixigo, ont également été témoins de cas de violation de données.

Le gouvernement indien prend des mesures sur ce front au niveau politique. Fin juillet , un panel de haut niveau dirigé par le juge BN Srikrishna a soumis ses recommandations et le projet de loi sur la protection des données personnelles 2018 au ministre de l'informatique Ravi Shankar Prasad. Depuis lors, le gouvernement indien a fait face à une réaction violente de la part de membres du monde des affaires et d'associations telles que l'Internet and Mobile Association of India, NASSCOM et des sociétés de commerce électronique comme Amazon et Walmart concernant les dispositions du projet de loi.

L'Union européenne (UE) avait également émis des réserves sur le projet de loi . "Si elle était mise en œuvre, ce type de disposition entraverait également probablement les transferts de données... contrairement à ce qui est parfois suggéré, l'industrie technologique indienne en plein essor n'a pas besoin de ce type de mesures de localisation forcée", a écrit Bruno Gencarelli, responsable de l'International Data Flows and Protection. Unité à la Commission européenne (CE) .

Après le scandale Facebook-Cambridge Analytica , les gouvernements du monde entier rédigent et mettent en œuvre des lois sur le flux de données. Des pays comme le Japon, la Corée et la Nouvelle-Zélande ont déjà adopté des lois sur la protection des données basées sur le principe de la localisation des données. Pendant ce temps, en Amérique latine, le Brésil a adopté sa propre loi en août 2018, tandis que le Chili a annoncé la création d'une autorité indépendante de protection des données.

Mise à jour 1 : 17 avril 2019 | 17h32

Justdial enquête sur la fuite de données

Justdial a envoyé à Inc42 une déclaration sur les commentaires ajoutés à l'article.

L'architecte principal de la base de données de Justdial, Rajeev Nair, a déclaré: «Nous enquêtons toujours sur le système pour détecter de telles failles présumées. Nous essayons depuis deux ou trois jours et en ce qui nous concerne, il n'y a pas d'échappatoire. La plupart de nos systèmes et API sont infaillibles et il y a des enrichissements de sécurité et de codage que nous faisons autour. Nous explorerons plus avant le front signalé par le chercheur en sécurité et l'arrêterons dès que possible, s'il existe une faille comme celle-ci.

Mise à jour 2 : 18 avril 2019 | 11h05

Justdial affirme avoir résolu le problème

Justdial nous a maintenant envoyé une clarification supplémentaire à ce sujet. Un porte-parole de Justdial a déclaré à Inc42 : « Il n'y a eu aucune violation de données de 100 millions d'utilisateurs, etc., comme le prétendent les rapports ou autrement. Toutes les informations utilisateur sensibles, y compris les informations financières ainsi que les mots de passe des utilisateurs, sont protégées conformément aux pratiques du secteur (en outre, la majorité des plates-formes JD fonctionnent sur l'authentification basée sur OTP). Le porte-parole a également déclaré que les informations financières sur ses plateformes sont stockées dans un format à double cryptage et régulièrement auditées par un cabinet d'audit conforme à la norme PCI DSS.

"Cependant, les anciennes versions de nos applications, qui ne s'adressent actuellement qu'à une très petite fraction de nos utilisateurs, utilisaient certaines API sur la base desquelles un numéro de mobile particulier était entré, certaines informations de base sur l'utilisateur étaient accessibles (aucune information financière n'était accessible). Cette vulnérabilité qui existait sur les anciennes plates-formes d'applications est également désormais corrigée. Les versions plus récentes (actuelles) de l'application où la majorité des utilisateurs sont disponibles ne présentent pas la vulnérabilité ci-dessus », a ajouté le porte-parole, avant de dire que Justdial a mis en place un cryptage adéquat pour les anciennes API qui ont été impactées. "Bien que des audits réguliers soient effectués, nous avons également lancé un audit technique indépendant pour identifier les vulnérabilités existantes."

La société a réitéré qu'aucune violation de données n'avait eu lieu et qu'elle avait été vérifiée par un chercheur indépendant en sécurité (nom non divulgué). "Justdial compte environ 134 millions d'utilisateurs uniques trimestriels (pour le trimestre se terminant en décembre 2018) et nous avons mis en place des systèmes robustes pour garantir que les informations des utilisateurs et les autres données restent correctement protégées."

Mise à jour 3 : 18 avril 2019 | 12h50

Un chercheur en sécurité remet en question les affirmations de Justdial

En réponse à la dernière clarification de Justdial ci-dessus, le chercheur en sécurité Rajshekhar Rajaharia , qui a découvert le problème en premier lieu, a déclaré que le problème n'était toujours pas résolu. "De nombreuses API sont toujours disponibles à partir desquelles n'importe qui peut spammer ou bombarder des milliers ou des milliers de SMS à la fois sans leur permission (Justdial et utilisateurs). Ces API n'utilisent pas non plus de jeton ou d'autre captcha d'authentification. Pensez à ce qui se passe si quelqu'un bombarde des centaines de milliers de SMS à vos utilisateurs en un seul clic avec OTP en utilisant votre API à minuit. Vous devriez utiliser auth ou token là-bas.

Nous avons contacté Justdial pour obtenir leur réponse à ces affirmations et mettrons à jour notre histoire dès que nous recevrons une déclaration.