Justdial se démène pour colmater plusieurs fuites alors que les données des examinateurs deviennent publiques
Publié: 2019-04-30Plus tôt ce mois-ci, une faille dans la base de données Justdial a révélé les détails de ses plus de 100 millions d'utilisateurs
Cependant, une deuxième faille est apparue dans la base de données des examinateurs de l'entreprise.
La société compte 134 millions d'utilisateurs trimestriels uniques au total
Plus tôt ce mois-ci, un chercheur indépendant en sécurité, Rajshekhar Rajaharia, a découvert une faille de sécurité majeure dans la base de données du moteur de recherche hyperlocal indien Justdial. La faille avait exposé la base de données de Justdial de plus de 100 millions d'utilisateurs. Cette faille a été corrigée par la société après une semaine de publication publique de Rajaharia.
Cependant, le chercheur avait de nouveau découvert une faille (le 29 avril) dans les API de l'entreprise qui exposait la base de données de l'examinateur de l'entreprise. La deuxième faille a été corrigée le jour même du rapport du chercheur, a déclaré Rajaharia à Inc42 .
« L'API connectée à la base de données des évaluateurs de Justdial n'est pas protégée depuis la création de l'entreprise. Cette faille signifie que le nom, le numéro de téléphone portable et l'emplacement de l'examinateur étaient accessibles au public sur Internet », a déclaré Rajaharia à Inc42.
Rajaharia avait fait valoir son point de vue sur la récente fuite de données dans une publication vidéo –
Pour le confirmer, nous lui avons demandé d'extraire les données de certains avis de restaurants rédigés par notre équipe. Voici les captures d'écran des données extraites par le chercheur -
En réponse à une requête Inc42 , un Justdial a déclaré que son équipe avait contacté Rajaharia et avait résolu le problème à l'origine de la violation de données.
Un porte-parole de Justdial avait déclaré à Inc42 au moment de la fuite de données précédente : "Toutes les informations sensibles des utilisateurs, y compris les informations financières ainsi que les mots de passe des utilisateurs, sont protégées conformément aux pratiques du secteur (en outre, la majorité des plates-formes JD fonctionnent sur l'authentification basée sur OTP). ” Le porte-parole a également déclaré que les informations financières sur ses plateformes sont stockées dans un format à double cryptage et régulièrement auditées par un cabinet d'audit conforme à la norme PCI DSS.
La saga des fuites de données Justdial
Le 12 avril, Rajaharia a écrit pour la première fois sur les données des utilisateurs de Justdial accessibles au public dans une publication sur Facebook. Le message disait: "Cher Justdial, les données de vos 100 millions d'utilisateurs, y compris le nom, l'e-mail, le numéro de téléphone portable, le sexe, la date de naissance, l'adresse, la photo, l'entreprise, la profession et d'autres détails, sont accessibles au public."
Quatre jours après la publication publique de Rajaharia et plusieurs tentatives infructueuses de sa part pour se connecter à Justdial, Inc42 a signalé la fuite de données de la base de données des utilisateurs de Justdial 100Mn le 16 avril.
Recommandé pour vous:
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Le 17 avril, l'architecte principal de la base de données de Justdial, Rajeev Nair, a finalement répondu aux affirmations et a déclaré à Inc42 : « Nous enquêtons toujours sur le système pour détecter de telles failles présumées. Nous essayons depuis deux ou trois jours et en ce qui nous concerne, il n'y a pas d'échappatoire. La plupart de nos systèmes et API sont infaillibles et il y a des enrichissements de sécurité et de codage que nous faisons autour. Nous explorerons plus avant le front signalé par le chercheur en sécurité et l'arrêterons dès que possible, s'il existe une faille comme celle-ci.
Suite à cette déclaration, le matin du 18 avril, Justdial a envoyé à Inc42 une clarification supplémentaire indiquant qu'il n'y a pas eu de violation de données des utilisateurs de 100Mn, etc., comme indiqué dans les rapports ou autrement.
Plus tard le même jour, cependant, Rajaharia a affirmé que le problème n'avait pas été résolu malgré les affirmations de l'entreprise. Il avait déclaré à l'époque : « De nombreuses API sont encore disponibles à partir desquelles n'importe qui peut utiliser pour spammer ou bombarder des milliers ou des milliers de SMS à la fois sans leur permission (Justdial ou ses utilisateurs). Ces API n'utilisent aucun jeton ni aucun autre captcha d'authentification. »
Rajaharia a confirmé plus tard à Inc42 que la faille dans la base de données des utilisateurs de Justdial avait été corrigée à la veille du 18 avril, mais la dernière fuite autour des données des examinateurs indique que le problème pourrait être plus profond.
Géant des données avec 134 millions d'utilisateurs uniques par trimestre
Justdial a été fondée par un entrepreneur en série VSS Mani. La société basée à Mumbai était devenue publique en mai 2013. Au troisième trimestre de l'exercice 2019, la société a affirmé avoir environ 134 millions de visiteurs trimestriels uniques sur sa plate-forme.
Avec 78,5 % de ses utilisateurs provenant de mobiles, ses téléchargements cumulés d'applications en janvier 2019 s'élevaient à 22,8 Mn. Les revenus d'exploitation de Justdial au T3 de l'exercice 2019 étaient de 2 268 millions INR avec un bénéfice net de 573 millions INR.
Avec plus de 25 secteurs verticaux sur son site Web, Justdial a été lancé comme un annuaire local basé sur le téléphone. La société propose actuellement des services tels que les factures et la recharge, la livraison d'épicerie et de nourriture, et gère les réservations de restaurants, de taxis, de billets de cinéma, de billets d'avion, d'événements et plus encore.
Justdial prétend avoir des succursales dans 11 villes à travers l'Inde avec une présence sur le terrain dans plus de 250 villes indiennes couvrant plus de 11 000 codes PIN.
Fuites de données dans les startups indiennes
Il y a à peine deux mois (février 2019), la plateforme de réservation de voyages Ixigo aurait divulgué 18 millions d'enregistrements d'utilisateurs. Cette fuite avait exposé le nom des utilisateurs, les adresses e-mail et les mots de passe brouillés. Ixigo aurait utilisé un algorithme de hachage MD5 ancien et obsolète pour brouiller les mots de passe, que les pirates pouvaient facilement déchiffrer.
En octobre 2018, la start-up fintech EarlySalary, basée à Pune, a également signalé une faille de sécurité. La violation aurait compromis les noms et numéros de téléphone téléchargés par des clients potentiels sur son site Web. Cependant, le nombre d'enregistrements divulgués n'a pas pu être déterminé à ce moment-là.
Juste un mois avant les nouvelles d'EarlySalary, la startup de technologie alimentaire FreshMenu avait également reconnu une violation de données à partir de 2016. La violation aurait affecté 110 000 utilisateurs indiens.
Avant cela, en 2017, la société de découverte de restaurants Zomato avait également signalé la violation de données de 17 millions d' utilisateurs, exposant les adresses e-mail et les mots de passe hachés des utilisateurs.
Avec le nombre croissant de violations de données dans le pays, le gouvernement indien a pris des mesures au niveau politique. En juillet , un panel de haut niveau dirigé par le juge BN Srikrishna a soumis ses recommandations et le projet de loi 2018 sur la protection des données personnelles au ministre de l'informatique Ravi Shankar Prasad. Depuis lors, le gouvernement indien a fait face à une réaction violente de la part de membres du monde des affaires et d'associations telles que l'Internet and Mobile Association of India, NASSCOM et les géants du commerce électronique Amazon et Walmart concernant les dispositions du projet de loi.