Justdial Berebut Untuk Memasang Banyak Kebocoran Saat Data Peninjau Go Public
Diterbitkan: 2019-04-30Awal bulan ini, celah database Justdial mengungkap detail lebih dari 100 juta penggunanya
Namun, celah kedua muncul di database pengulas perusahaan
Perusahaan ini memiliki 134 juta pengguna triwulanan yang unik secara keseluruhan
Awal bulan ini, seorang peneliti keamanan independen Rajshekhar Rajaharia, menemukan celah keamanan utama dalam database mesin pencari hyperlocal India Justdial. Celah itu telah mengekspos database Justdial lebih dari 100 juta pengguna. Celah ini diperbaiki oleh perusahaan setelah seminggu posting publik Rajaharia.
Namun, peneliti kembali menemukan celah (pada 29 April) di API perusahaan yang mengekspos database reviewer perusahaan. Celah kedua diperbaiki pada hari yang sama dengan laporan peneliti, kata Rajaharia kepada Inc42 .
“API yang terhubung ke database reviewer Justdial tidak terlindungi sejak perusahaan berdiri. Celah ini berarti bahwa nama pengulas, nomor ponsel, dan lokasi tersedia untuk umum di internet,” kata Rajaharia kepada Inc42.
Rajaharia telah membuat kasusnya tentang kebocoran data baru-baru ini dalam sebuah posting video –
Untuk mengonfirmasi hal ini, kami memintanya untuk mengeluarkan data beberapa ulasan restoran yang dibuat oleh tim kami. Berikut adalah screenshot dari data yang ditarik oleh peneliti –
Menanggapi permintaan Inc42 , Justdial mengatakan bahwa timnya telah menghubungi Rajaharia dan telah memperbaiki masalah yang menyebabkan pelanggaran data.
Seorang juru bicara Justdial telah memberi tahu Inc42 pada saat kebocoran data sebelumnya , “Semua informasi pengguna yang sensitif termasuk informasi keuangan apa pun serta kata sandi pengguna apa pun dilindungi sesuai praktik industri (selanjutnya, sebagian besar platform JD bekerja pada otentikasi berbasis OTP). ” Juru bicara itu juga mengatakan bahwa informasi keuangan pada platformnya disimpan dalam format terenkripsi ganda dan secara teratur diaudit oleh firma audit yang sesuai dengan PCI DSS.
Saga Kebocoran Data Justdial
Pada 12 April, Rajaharia pertama kali menulis tentang data pengguna Justdial yang tersedia untuk umum di sebuah posting Facebook. Postingan itu berbunyi, “Dear Justdial Data 100 Juta pengguna Anda termasuk nama, email, nomor ponsel, jenis kelamin, dob, alamat, foto, perusahaan, pekerjaan & detail lainnya dapat diakses publik.”
Empat hari setelah posting publik Rajaharia dan beberapa upaya gagal di pihaknya untuk terhubung dengan Justdial, Inc42 melaporkan kebocoran data database pengguna Justdial 100Mn pada 16 April.
Direkomendasikan untukmu:
Bagaimana Kerangka Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India
Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...
Bagaimana Metaverse Akan Mengubah Industri Otomotif India
Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?
Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...
Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...
Pada 17 April, arsitek basis data senior Justdial Rajeev Nair akhirnya menanggapi klaim tersebut dan mengatakan kepada Inc42 , “Kami masih menyelidiki sistem untuk dugaan celah semacam itu. Kami telah mencoba selama dua-tiga hari terakhir dan sejauh yang kami ketahui tidak ada celah. Sebagian besar sistem dan API kami sangat mudah dan ada pengayaan keamanan dan pengkodean yang kami lakukan di sekitarnya. Kami akan mengeksplorasi lebih jauh di depan yang ditunjukkan oleh peneliti keamanan dan menangkapnya sesegera mungkin, jika memang ada celah seperti ini.”
Menyusul pernyataan ini, pada pagi hari tanggal 18 April, Justdial mengirim Inc42 klarifikasi lebih lanjut yang menyatakan bahwa tidak ada pelanggaran data dari 100 juta pengguna, dll. Seperti yang diklaim dalam laporan atau lainnya.
Namun pada hari yang sama, Rajaharia mengklaim bahwa masalah tersebut belum teratasi meskipun ada klaim dari perusahaan. Dia mengatakan pada saat itu, “Masih banyak API yang dapat digunakan siapa saja untuk mengirim spam atau membombardir ribuan atau jutaan SMS sekaligus tanpa izin (Justdial atau penggunanya). API ini juga tidak menggunakan token atau captcha auth lainnya.”
Rajaharia kemudian mengkonfirmasi kepada Inc42 bahwa celah dalam basis data pengguna Justdial telah diperbaiki pada malam 18 April, namun kebocoran terbaru seputar data pengulas menunjukkan bahwa masalahnya mungkin berjalan lebih dalam.
Raksasa Data Dengan 134 Juta Pengguna Triwulanan Unik
Justdial didirikan oleh seorang pengusaha serial VSS Mani. Perusahaan yang berbasis di Mumbai ini telah go public pada Mei 2013. Pada kuartal ketiga FY2019, perusahaan mengklaim memiliki sekitar 134 juta pengunjung unik setiap tiga bulan di platformnya.
Dengan 78,5% penggunanya berasal dari seluler, unduhan aplikasi kumulatifnya pada Januari 2019 mencapai 22,8 juta. Pendapatan operasional Justdial di Q3 FY19 adalah INR 2.268 Mn dengan laba bersih INR 573 Mn.
Dengan lebih dari 25 vertikal di situs webnya, Justdial dimulai sebagai direktori lokal berbasis telepon. Perusahaan saat ini menawarkan layanan seperti tagihan dan isi ulang, pengiriman bahan makanan dan makanan, dan menangani pemesanan untuk restoran, taksi, tiket film, tiket penerbangan, acara, dan banyak lagi.
Justdial mengklaim memiliki cabang di 11 kota di seluruh India dengan kehadiran di lebih dari 250 kota di India yang mencakup lebih dari 11K kode pin.
Kebocoran Data Di Startup India
Hanya dua bulan yang lalu (Februari 2019), platform pemesanan perjalanan Ixigo dilaporkan telah membocorkan 18 juta catatan pengguna. Kebocoran ini telah mengekspos nama pengguna, alamat email, dan sandi acak. Ixigo dilaporkan telah menggunakan algoritma hashing MD5 yang lama dan ketinggalan zaman untuk mengacak kata sandi, yang dapat dengan mudah dipecahkan oleh peretas.
Pada Oktober 2018, startup fintech yang berbasis di Pune, EarlySalary, juga melaporkan pelanggaran keamanan. Pelanggaran itu dikatakan telah membahayakan nama dan nomor ponsel yang diunggah oleh calon pelanggan di situs webnya. Namun, jumlah catatan yang bocor tidak dapat ditentukan saat itu.
Hanya sebulan sebelum berita EarlySalary, startup foodtech FreshMenu juga memiliki pelanggaran data dari 2016. Pelanggaran dilaporkan telah mempengaruhi 110 ribu pengguna India.
Sebelum ini pada tahun 2017, perusahaan penemuan restoran Zomato juga melaporkan pelanggaran data 17 juta pengguna, memperlihatkan alamat email dan kata sandi pengguna.
Dengan meningkatnya jumlah pelanggaran data di negara ini, pemerintah India telah mengambil beberapa langkah di tingkat kebijakan. Pada bulan Juli , panel tingkat tinggi yang dipimpin oleh Hakim BN Srikrishna menyerahkan rekomendasinya dan rancangan RUU Perlindungan Data Pribadi 2018 kepada menteri TI Ravi Shankar Prasad. Sejak itu, pemerintah India menghadapi reaksi keras dari anggota komunitas bisnis dan asosiasi seperti Asosiasi Internet dan Seluler India, NASSCOM , dan raksasa e-niaga Amazon dan Walmart atas ketentuan rancangan undang-undang tersebut.