Justdial si arrampica per tappare più perdite mentre i dati dei revisori diventano pubblici
Pubblicato: 2019-04-30All'inizio di questo mese, una scappatoia del database Justdial ha rivelato i dettagli dei suoi oltre 100 milioni di utenti
Tuttavia, nel database dei revisori dell'azienda è emersa una seconda scappatoia
L'azienda conta complessivamente 134 milioni di utenti unici trimestrali
All'inizio di questo mese, un ricercatore di sicurezza indipendente Rajshekhar Rajaharia, ha scoperto una grande falla di sicurezza nel database del motore di ricerca iperlocale indiano Justdial. La scappatoia aveva esposto il database di Justdial di oltre 100 milioni di utenti. Questa scappatoia è stata risolta dalla società dopo una settimana di incarico pubblico di Rajaharia.
Tuttavia, il ricercatore aveva nuovamente scoperto una scappatoia (il 29 aprile) nelle API dell'azienda che esponeva il database dell'azienda del revisore. La seconda scappatoia è stata risolta lo stesso giorno del rapporto del ricercatore, ha detto Rajaharia a Inc42 .
“L'API collegata al database dei revisori di Justdial non è stata protetta sin dalla fondazione dell'azienda. Questa scappatoia significa che il nome, il numero di cellulare e la posizione del recensore erano pubblicamente disponibili su Internet”, ha detto Rajaharia a Inc42.
Rajaharia aveva presentato la sua tesi sulla recente fuga di dati in un post video –
A conferma di ciò, gli abbiamo chiesto di estrarre i dati di alcune recensioni di ristoranti fatte dal nostro team. Di seguito gli screenshot dei dati estratti dal ricercatore –
In risposta a una domanda di Inc42 , un Justdial ha affermato che il suo team aveva contattato Rajaharia e aveva risolto il problema che aveva causato la violazione dei dati.
Un portavoce di Justdial aveva detto a Inc42 al momento della precedente fuga di dati : "Tutte le informazioni sensibili degli utenti, comprese le informazioni finanziarie e le password degli utenti, sono protette secondo le pratiche del settore (inoltre, la maggior parte delle piattaforme JD funziona sull'autenticazione basata su OTP). " Il portavoce ha anche affermato che le informazioni finanziarie sulle sue piattaforme sono archiviate in un formato a doppia crittografia e regolarmente controllate da una società di revisione conforme allo standard PCI DSS.
La saga delle perdite di dati di Justdial
Il 12 aprile, Rajaharia ha scritto per la prima volta in un post su Facebook dei dati degli utenti Justdial disponibili al pubblico. Il post diceva: "Caro Justdial, i dati di 100 milioni di utenti inclusi nome, e-mail, numero di cellulare, sesso, data di nascita, indirizzo, foto, azienda, occupazione e altri dettagli sono pubblicamente accessibili".
Quattro giorni dopo il post pubblico di Rajaharia e numerosi tentativi falliti da parte sua di connettersi con Justdial, Inc42 ha segnalato la fuga di dati del database degli utenti di Justdial 100Mn il 16 aprile.
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
Il 17 aprile, l'architetto senior del database di Justdial, Rajeev Nair, ha finalmente risposto alle affermazioni e ha detto a Inc42 : “Stiamo ancora indagando sul sistema per eventuali presunte scappatoie. Ci abbiamo provato negli ultimi due-tre giorni e per quanto ci riguarda non c'è scappatoia. La maggior parte dei nostri sistemi e API sono infallibili e ci sono arricchimenti di sicurezza e codifica che facciamo intorno ad esso. Esploreremo ulteriormente il fronte indicato dal ricercatore di sicurezza e lo arresteremo il prima possibile, se ci sarà una scappatoia come questa".
A seguito di tale dichiarazione, la mattina del 18 aprile Justdial ha inviato a Inc42 un ulteriore chiarimento affermando che non si è verificata alcuna violazione dei dati di 100 milioni di utenti, ecc. come affermato in segnalazioni o altro.
Più tardi lo stesso giorno, tuttavia, Rajaharia ha affermato che il problema non era stato risolto nonostante le affermazioni della società. A quel tempo aveva affermato: "Sono ancora disponibili molte API da cui chiunque può utilizzare per inviare spam o bombardare migliaia o migliaia di SMS contemporaneamente senza il loro permesso (Justdial o i suoi utenti). Queste API inoltre non utilizzano alcun token o qualsiasi altro captcha di autenticazione".
Rajaharia ha successivamente confermato a Inc42 che la scappatoia nel database degli utenti di Justdial è stata risolta entro la vigilia del 18 aprile, tuttavia l'ultima fuga di dati sui dati dei revisori indica che il problema potrebbe essere più profondo.
Gigante dei dati con 134 milioni di utenti unici trimestrali
Justdial è stata fondata da un imprenditore seriale VSS Mani. La società con sede a Mumbai era diventata pubblica nel maggio 2013. Nel terzo trimestre dell'esercizio 2019, la società ha affermato di avere circa 134 milioni di visitatori trimestrali unici sulla sua piattaforma.
Con il 78,5% dei suoi utenti provenienti da dispositivi mobili, i download cumulativi di app a gennaio 2019 si sono attestati a 22,8 milioni. I ricavi operativi di Justdial nel terzo trimestre FY19 sono stati di INR 2.268 milioni con un utile netto di INR 573 milioni.
Con più di 25 verticali sul suo sito Web, Justdial è stato avviato come directory locale basata sul telefono. L'azienda attualmente offre servizi come bollette e ricariche, generi alimentari e consegna di cibo e gestisce prenotazioni per ristoranti, taxi, biglietti per il cinema, biglietti aerei, eventi e altro ancora.
Justdial afferma di avere filiali in 11 città in tutta l'India con una presenza sul campo in oltre 250 città indiane che coprono più di 11.000 codici pin.
Perdite di dati nelle startup indiane
Solo due mesi fa (febbraio 2019), la piattaforma di prenotazione di viaggi Ixigo avrebbe trapelato 18 milioni di record di utenti. Questa perdita aveva esposto il nome degli utenti, gli indirizzi e-mail e le password criptate. È stato riferito che Ixigo ha utilizzato un vecchio e obsoleto algoritmo di hashing MD5 per codificare le password, che gli hacker sono stati facilmente in grado di decifrare.
Nell'ottobre 2018, anche la startup fintech di Pune EarlySalary ha segnalato una violazione della sicurezza. Si dice che la violazione abbia compromesso i nomi e i numeri di cellulare caricati dai potenziali clienti sul suo sito web. Tuttavia, in quel momento non è stato possibile determinare il numero di record trapelati.
Solo un mese prima delle notizie EarlySalary, anche la startup di foodtech FreshMenu aveva ammesso una violazione dei dati del 2016. Secondo quanto riferito, la violazione avrebbe colpito 110.000 utenti indiani.
In precedenza, nel 2017, anche la società di scoperta di ristoranti Zomato aveva segnalato la violazione dei dati di 17 milioni di utenti, esponendo gli indirizzi e-mail e le password con hash degli utenti.
Con il numero crescente di violazioni dei dati nel paese, il governo indiano ha adottato alcune misure a livello politico. A luglio , un gruppo di alto livello guidato dal giudice BN Srikrishna ha presentato le sue raccomandazioni e il progetto di legge sulla protezione dei dati personali 2018 al ministro dell'IT Ravi Shankar Prasad. Da allora, il governo indiano ha dovuto affrontare un contraccolpo da parte di membri della comunità imprenditoriale e di associazioni come Internet and Mobile Association of India, NASSCOM e giganti dell'e-commerce Amazon e Walmart sulle disposizioni del progetto di legge.