Justdial afferma che la perdita di dati che interessava 100 milioni di utenti è stata risolta, ma un ricercatore di sicurezza contesta le affermazioni

Un ricercatore di sicurezza indipendente ha scoperto una grande falla di sicurezza nel database del motore di ricerca iperlocale Justdial con sede a Mumbai che ha esposto i dati degli utenti da oltre 100 milioni di utenti.

"La connessione tra l'applicazione Justdial e il suo database non è protetta, il che rende milioni di dati utente vulnerabili alla violazione dei dati", ha detto Rajshekhar Rajaharia a Inc42 . Ha aggiunto che i dati sono accessibili pubblicamente dal 2015.

In una conversazione con Inc42, l'architetto senior del database di Justdial, Rajeev Nair, ha dichiarato: “Stiamo ancora indagando sul sistema per eventuali presunte scappatoie. Ci abbiamo provato negli ultimi due-tre giorni e per quanto ci riguarda non c'è scappatoia. La maggior parte dei nostri sistemi e API sono infallibili e ci sono miglioramenti della sicurezza e della codifica che facciamo attorno ad esso.

Con più di 25 verticali sul suo sito Web, Justdial ha iniziato come directory locale basata sul telefono. L'azienda attualmente offre servizi come bollette e ricariche, generi alimentari e consegna di cibo e gestisce prenotazioni per ristoranti, taxi, biglietti per il cinema, biglietti aerei, eventi e altro ancora.

Justdial ha filiali in 11 città in tutta l'India con una presenza sul campo in oltre 250 città indiane che coprono più di 11.000 codici pin. La società con sede a Mumbai era diventata pubblica nel maggio 2013.

Informazioni sensibili allo scoperto

I dati esposti potrebbero portare a ulteriori attacchi agli utenti di Justdial, se i dati fossero utilizzati da criminali informatici e hacker. Rajaharia ha aggiunto: “Oltre al numero di telefono degli utenti e alle informazioni personali, l'azienda tiene traccia anche della cronologia degli acquisti e delle ricerche degli utenti. Si tratta di dati sensibili e possono essere utilizzati per realizzare annunci pubblicitari mirati senza il consenso dell'utente."

A questo, Nair ha affermato: "Siamo un'organizzazione di dati e da questo punto di vista, comprendiamo la sensibilità dei dati che sono lì con noi. Proprio per questo motivo, facciamo molta sicurezza e crittografia da parte nostra".

Rajaharia ha scritto per la prima volta dei dati esposti in un post di Facebook. " Caro Justdial, i dati di 100 milioni di utenti tra cui nome, e-mail, numero di cellulare, sesso, data di nascita, indirizzo, foto, azienda, occupazione e altri dettagli sono pubblicamente accessibili ", aveva affermato.

Rajahari ha anche condiviso i seguenti screenshot dei dati utente di Justdial, che sono stati estratti durante il suo processo di ricerca:

La cosa peggiore di questa violazione dei dati è che nessuno ha dovuto hackerare i server di Justdial per accedere ai dati. Rajaharia ha affermato: "Poiché i dati sono disponibili tramite un URL pubblico e sono accessibili senza password, la legge indiana non prevede disposizioni per ritenere l'hacker responsabile di tale violazione dei dati. Solo la società sarà perseguita in caso di tale fuga di dati".

Justdial è stata fondata da un imprenditore seriale VSS Mani. La società ha registrato 132,4 milioni di visitatori trimestrali unici sulla sua piattaforma nel terzo trimestre dell'esercizio 2019. Con il 78,5% dei suoi utenti provenienti da dispositivi mobili, i download cumulativi di app mobili a gennaio 2019 si sono attestati a 22,8 milioni. I ricavi operativi di Justdial nel terzo trimestre FY19 sono stati di INR 2.268 milioni con un utile netto di INR 573 milioni.

Raccomandato per te:

Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Amit Das

31 luglio 2022

Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Jaspreet K.

31 luglio 2022

Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Vaibhav S.

31 luglio 2022

Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

Charanja L.

31 luglio 2022

Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Ankush S.

31 luglio 2022

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Tapanjana R.

31 luglio 2022

Fughe di dati in aumento in India

Quando si tratta di fughe di dati nel contesto indiano, la prima cosa a cui pensiamo è Aadhaar. Di recente, a febbraio 2019, sul sito Web di Indane sono trapelati i dettagli di Aadhaar di oltre 6,7 milioni di utenti contenenti dettagli come nomi, indirizzi e numeri . In precedenza, nel 2018, l'esperto di sicurezza informatica francese Baptiste Robert (che su Twitter si fa chiamare lo pseudonimo di Elliot Alderson) aveva caricato collegamenti a siti Web contenenti i dati Aadhaar di migliaia di cittadini indiani. E questi sono solo due esempi tra le molteplici fughe di notizie relative ad Aadhaar da parte di organi del governo statale.

Anche altre startup indiane, tra cui la società fintech di Pune EarlySalary e la piattaforma di viaggi Ixigo, hanno assistito a casi di violazione dei dati.

Il governo indiano sta compiendo alcuni passi su questo fronte a livello politico. Alla fine di luglio , un gruppo di alto livello guidato dal giudice BN Srikrishna ha presentato le sue raccomandazioni e il progetto di legge sulla protezione dei dati personali 2018 al ministro dell'IT Ravi Shankar Prasad. Da allora, il governo indiano ha dovuto affrontare un contraccolpo da parte di membri della comunità imprenditoriale e di associazioni come Internet and Mobile Association of India, NASSCOM e società di e-commerce come Amazon e Walmart sulle disposizioni del progetto di legge.

Anche l'Unione Europea (UE) aveva espresso riserve sul progetto di legge . "Se implementato, questo tipo di disposizione probabilmente ostacolerebbe anche i trasferimenti di dati... contrariamente a quanto a volte viene suggerito, l'industria tecnologica indiana non ha bisogno di questo tipo di misure di localizzazione forzata", ha scritto Bruno Gencarelli, capo dell'International Data Flows and Protection Unità presso la Commissione Europea (CE) .

Dopo lo scandalo Facebook-Cambridge Analytica , i governi di tutto il mondo stanno redigendo e attuando leggi sul flusso di dati. Paesi come Giappone, Corea e Nuova Zelanda hanno già approvato leggi sulla protezione dei dati basate sul principio della localizzazione dei dati. Nel frattempo, in America Latina, il Brasile ha approvato una propria legge nell'agosto 2018, mentre il Cile ha annunciato l'istituzione di un'autorità indipendente per la protezione dei dati.

Aggiornamento 1: 17 aprile 2019 | 17:32

Justdial indaga sulla fuga di dati

Justdial ha inviato a Inc42 una dichiarazione sui commenti aggiunti all'articolo.

L'architetto senior del database di Justdial, Rajeev Nair, ha dichiarato: “Stiamo ancora indagando sul sistema per eventuali presunte scappatoie. Ci abbiamo provato negli ultimi due-tre giorni e per quanto ci riguarda non c'è scappatoia. La maggior parte dei nostri sistemi e API sono infallibili e ci sono arricchimenti di sicurezza e codifica che facciamo intorno ad esso. Esploreremo ulteriormente il fronte indicato dal ricercatore di sicurezza e lo arresteremo il prima possibile, se esiste una scappatoia come questa".

Aggiornamento 2: 18 aprile 2019 | 11:05

Justdial afferma di aver risolto il problema

Justdial ci ha ora inviato un ulteriore chiarimento in merito. Un portavoce di Justdial ha dichiarato a Inc42 : "Non si è verificata alcuna violazione dei dati di 100 milioni di utenti, ecc. Come affermato nei rapporti o altro. Tutte le informazioni sensibili degli utenti, comprese le informazioni finanziarie e le password degli utenti, sono protette secondo le pratiche del settore (inoltre, la maggior parte delle piattaforme JD funziona con l'autenticazione basata su OTP)." Il portavoce ha anche affermato che le informazioni finanziarie sulle sue piattaforme sono archiviate in un formato a doppia crittografia e regolarmente controllate da una società di revisione conforme allo standard PCI DSS.

“Tuttavia, le versioni precedenti delle nostre app, che attualmente soddisfano solo una piccolissima frazione dei nostri utenti, utilizzavano determinate API in base alle quali un determinato numero di cellulare inserito era accessibile, alcuni dettagli utente di base erano accessibili (nessuna informazione finanziaria era accessibile). Anche questa vulnerabilità che esisteva sulle piattaforme delle app precedenti è stata risolta. Le versioni più recenti (attuali) dell'app in cui è disponibile la maggior parte degli utenti non presentano la vulnerabilità di cui sopra", ha aggiunto il portavoce, prima di affermare che Justdial ha implementato una crittografia adeguata per le API precedenti che sono state interessate. "Sebbene vengano condotti controlli regolari, abbiamo anche avviato un audit tecnico indipendente per identificare eventuali vulnerabilità esistenti".

La società ha ribadito che non si è verificata alcuna violazione dei dati e che è stata verificata da un ricercatore di sicurezza indipendente (nome non divulgato). "Justdial ha circa 134 milioni di utenti unici trimestrali (per il trimestre terminato a dicembre 2018) e disponiamo di solidi sistemi in atto per garantire che le informazioni degli utenti e altri dati rimangano adeguatamente protetti".

Aggiornamento 3: 18 aprile 2019 | 12:50

Il ricercatore sulla sicurezza mette in dubbio le affermazioni di Justdial

In risposta all'ultimo chiarimento di Justdial di cui sopra, il ricercatore di sicurezza Rajshekhar Rajaharia , che ha scoperto il problema in primo luogo, ha affermato che il problema non è ancora risolto. “Sono ancora disponibili molte API da cui chiunque può inviare spam o bombardare migliaia o migliaia di SMS contemporaneamente senza il loro permesso (Justdial e utenti). Queste API inoltre non utilizzano alcun token o qualsiasi altro captcha di autenticazione. Pensa a cosa succede se qualcuno bombarda migliaia di SMS ai tuoi utenti con un solo clic con OTP utilizzando la tua API a mezzanotte. Dovresti usare auth o token lì."

Abbiamo contattato Justdial per ottenere la loro risposta su queste affermazioni e aggiorneremo la nostra storia non appena riceveremo una dichiarazione.