Justdial Mengatakan Kebocoran Data Mempengaruhi 100 Juta Pengguna Tetap, Tetapi Peneliti Keamanan Menyangkal Klaim

Seorang peneliti keamanan independen telah menemukan celah keamanan utama di database mesin pencari hyperlocal Justdial yang berbasis di Mumbai yang telah mengekspos data pengguna dari lebih dari 100 juta pengguna.

“Koneksi antara aplikasi Justdial dan basis datanya tidak terlindungi, yang membuat jutaan data pengguna rentan terhadap pelanggaran data,” Rajshekhar Rajaharia mengatakan kepada Inc42 . Ia menambahkan, data tersebut bisa diakses publik sejak 2015.

Dalam percakapan dengan Inc42, arsitek database senior Justdial Rajeev Nair berkata, “Kami masih menyelidiki sistem untuk dugaan celah semacam itu. Kami telah mencoba selama dua-tiga hari terakhir dan sejauh yang kami ketahui tidak ada celah. Sebagian besar sistem dan API kami sangat mudah dan ada pengayaan keamanan dan pengkodean yang kami lakukan di sekitarnya.”

Dengan lebih dari 25 vertikal di situs webnya, Justdial dimulai sebagai direktori lokal berbasis telepon. Perusahaan saat ini menawarkan layanan seperti tagihan dan isi ulang, pengiriman bahan makanan dan makanan, dan menangani pemesanan untuk restoran, taksi, tiket film, tiket penerbangan, acara, dan banyak lagi.

Justdial memiliki cabang di 11 kota di seluruh India dengan kehadiran di lebih dari 250 kota di India yang mencakup lebih dari 11 ribu kode pin. Perusahaan yang berbasis di Mumbai ini telah go public pada Mei 2013.

Informasi Sensitif Di Tempat Terbuka

Data yang terpapar dapat menyebabkan serangan lebih lanjut terhadap pengguna Justdial, jika data tersebut digunakan oleh penjahat cyber dan peretas. Rajaharia menambahkan, “Selain nomor telepon dan informasi pribadi pengguna, perusahaan juga melacak riwayat pembelian dan pencarian pengguna. Ini adalah data sensitif dan dapat digunakan untuk melakukan iklan bertarget tanpa persetujuan pengguna.”

Untuk ini, Nair berkata, “Kami adalah organisasi data dan dari sudut pandang itu, kami memahami sensitivitas data yang ada bersama kami. Justru karena alasan ini, kami melakukan banyak keamanan dan enkripsi dari pihak kami.”

Rajaharia pertama kali menulis tentang data yang terpapar di sebuah posting Facebook. “ Dear Justdial Data 100 Juta pengguna Anda termasuk nama, email, nomor ponsel, jenis kelamin, dob, alamat, foto, perusahaan, pekerjaan & detail lainnya dapat diakses publik, ” katanya.

Rajahari juga membagikan tangkapan layar data pengguna Justdial berikut, yang diambil selama proses penelitiannya:

Yang lebih buruk dari pelanggaran data ini adalah tidak ada yang harus meretas ke server Justdial untuk mengakses data. Rajaharia berkata, “Karena data tersedia melalui URL publik dan dapat diakses tanpa kata sandi, undang-undang India tidak memiliki ketentuan untuk meminta peretas bertanggung jawab atas pelanggaran data semacam itu. Hanya perusahaan yang akan dituntut jika terjadi kebocoran data seperti itu.”

Justdial didirikan oleh seorang pengusaha serial VSS Mani. Perusahaan telah melaporkan 132,4 juta pengunjung unik setiap tiga bulan di platformnya pada kuartal ketiga FY2019. Dengan 78,5% penggunanya berasal dari seluler, unduhan aplikasi seluler kumulatif pada Januari 2019 mencapai 22,8 juta. Pendapatan operasional Justdial di Q3 FY19 adalah INR 2.268 Mn dengan laba bersih INR 573 Mn.

Direkomendasikan untukmu:

Sumber daya

Bagaimana Kerangka Kerja Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India

Amit Daso

31 Juli 2022

Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Jaspreet K.

31 Juli 2022

Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Vaibhav S.

31 Juli 2022

Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Charnya L.

31 Juli 2022

Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Ankush S.

31 Juli 2022

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Tapanjana R.

31 Juli 2022

Kebocoran Data Meningkat Di India

Ketika datang ke kebocoran data dalam konteks India, hal pertama yang kami pikirkan adalah Aadhaar. Baru-baru ini pada Februari 2019, detail Aadhaar lebih dari 6,7 juta pengguna yang berisi detail seperti nama, alamat, dan nomor bocor di situs web Indane . Sebelumnya pada tahun 2018, pakar keamanan siber Prancis Baptiste Robert (yang menggunakan nama samaran Elliot Alderson di Twitter) telah mengunggah tautan situs web yang berisi data Aadhaar dari ribuan warga India. Dan itu hanya dua contoh di antara beberapa kebocoran terkait Aadhaar dari badan pemerintah negara bagian.

Startup India lainnya termasuk perusahaan fintech EarlySalary yang berbasis di Pune dan platform perjalanan Ixigo juga telah menyaksikan kasus pelanggaran data.

Pemerintah India mengambil beberapa langkah di bidang ini pada tingkat kebijakan. Pada akhir Juli , panel tingkat tinggi yang dipimpin oleh Hakim BN Srikrishna menyerahkan rekomendasinya dan rancangan RUU Perlindungan Data Pribadi 2018 kepada menteri TI Ravi Shankar Prasad. Sejak itu, pemerintah India menghadapi reaksi keras dari anggota komunitas bisnis dan asosiasi seperti Asosiasi Internet dan Seluler India, NASSCOM , dan perusahaan e-niaga seperti Amazon dan Walmart atas ketentuan rancangan undang-undang tersebut.

Uni Eropa (UE) juga telah menyatakan keberatan tentang rancangan undang-undang tersebut . “Jika diterapkan, ketentuan semacam ini juga kemungkinan akan menghambat transfer data… bertentangan dengan apa yang kadang-kadang disarankan, industri teknologi India yang berjuang keras tidak memerlukan tindakan pelokalan paksa semacam ini,” tulis Bruno Gencarelli, kepala Arus dan Perlindungan Data Internasional. Unit di Komisi Eropa (EC) .

Setelah skandal Facebook-Cambridge Analytica , Pemerintah di seluruh dunia sedang menyusun dan menerapkan undang-undang seputar aliran data. Negara-negara seperti Jepang, Korea, dan Selandia Baru telah mengesahkan undang-undang perlindungan data berdasarkan prinsip lokalisasi data. Sementara itu, di Amerika Latin, Brasil mengesahkan undang-undangnya sendiri pada Agustus 2018, sementara Chili mengumumkan pembentukan otoritas perlindungan data independen.

Pembaruan 1: 17 April 2019 | 17:32

Justdial Menyelidiki Kebocoran Data

Justdial mengirim Inc42 pernyataan tentang komentar yang ditambahkan ke artikel.

Arsitek database senior Justdial Rajeev Nair berkata, “Kami masih menyelidiki sistem untuk dugaan celah semacam itu. Kami telah mencoba selama dua-tiga hari terakhir dan sejauh yang kami ketahui tidak ada celah. Sebagian besar sistem dan API kami sangat mudah dan ada pengayaan keamanan dan pengkodean yang kami lakukan di sekitarnya. Kami akan mengeksplorasi lebih jauh di bagian depan yang ditunjukkan oleh peneliti keamanan dan menangkapnya sesegera mungkin, jika memang ada celah seperti ini.”

Pembaruan 2: 18 April 2019 | 11:05

Klaim Justdial Itu Memperbaiki Masalah

Justdial sekarang telah mengirimi kami klarifikasi lebih lanjut tentang masalah ini. Seorang juru bicara Justdial mengatakan kepada Inc42 , “Tidak ada pelanggaran data dari 100 juta pengguna, dll. Seperti yang diklaim dalam laporan atau lainnya. Semua informasi pengguna yang sensitif termasuk informasi keuangan apa pun serta kata sandi pengguna apa pun dilindungi sesuai dengan praktik industri (selanjutnya, sebagian besar platform JD bekerja pada otentikasi berbasis OTP).” Juru bicara itu juga mengatakan bahwa informasi keuangan pada platformnya disimpan dalam format terenkripsi ganda dan secara teratur diaudit oleh firma audit yang sesuai dengan PCI DSS.

“Namun, versi aplikasi kami yang lebih lama, yang saat ini hanya melayani sebagian kecil pengguna kami, menggunakan API tertentu yang dengannya nomor ponsel tertentu dimasukkan, detail pengguna dasar tertentu dapat diakses (tidak ada informasi keuangan yang dapat diakses). Kerentanan yang ada pada platform aplikasi lama ini juga sekarang telah diperbaiki. Versi aplikasi yang lebih baru (saat ini) di mana sebagian besar pengguna tersedia tidak memiliki kerentanan di atas, ”tambah juru bicara itu, sebelum mengatakan bahwa Justdial telah menerapkan enkripsi yang memadai untuk API lama yang terpengaruh. “Meskipun ada audit rutin yang dilakukan, kami juga telah memulai audit teknologi independen untuk mengidentifikasi kerentanan yang ada.”

Perusahaan menegaskan kembali bahwa tidak ada pelanggaran data yang terjadi dan telah diverifikasi oleh peneliti keamanan independen (nama dirahasiakan). “Justdial memiliki ~134 juta pengguna unik triwulanan (untuk kuartal yang berakhir pada Desember 2018) dan kami memiliki sistem yang kuat untuk memastikan bahwa informasi pengguna dan data lainnya tetap terlindungi secara memadai.”

Pembaruan 3: 18 April 2019 | 12:50

Peneliti Keamanan Mempertanyakan Klaim Justdial

Menanggapi klarifikasi terbaru Justdial di atas, peneliti keamanan Rajshekhar Rajaharia , yang pertama kali menemukan masalah tersebut, mengatakan bahwa masalah tersebut masih belum diperbaiki. “Masih banyak API yang dapat digunakan siapa saja untuk melakukan spam atau membombardir ribuan atau lakh SMS sekaligus tanpa izin (Justdial dan pengguna). API ini juga tidak menggunakan token atau captcha auth lainnya. Pikirkan apa yang terjadi jika seseorang membombardir lakh SMS ke pengguna Anda dengan satu klik dengan OTP menggunakan API Anda di tengah malam. Anda harus menggunakan auth atau token di sana.”

Kami telah menghubungi Justdial untuk mendapatkan tanggapan mereka atas klaim ini, dan akan memperbarui cerita kami segera setelah kami menerima pernyataan.