• ホームページ
  • 記事
  • 技術
  • レビュアーデータが公開されると、ジャストダイヤルは複数のリークを阻止するためにスクランブルをかけます

レビュアーデータが公開されると、ジャストダイヤルは複数のリークを阻止するためにスクランブルをかけます

公開: 2019-04-30

今月初め、Justdial データベースの抜け穴により、1 億人を超えるユーザーの詳細が明らかになりました

しかし、同社のレビュアー データベースに 2 つ目の抜け穴が見つかりました。

同社には四半期ごとに 1 億 3,400 万人のユニーク ユーザーがいます

今月初め、独立系セキュリティ研究者の Rajshekhar Rajaharia 氏は、インドのハイパーローカル検索エンジン Justdial のデータベースに重大なセキュリティの抜け穴を発見しました。 抜け穴により、1 億人を超えるユーザーの Justdial のデータベースが公開されました。 この抜け穴は、Rajaharia の公開投稿から 1 週間後、会社によって修正されました。

しかし、研究者は、(4 月 29 日に) 会社の API の抜け穴を再び発見し、レビュー担当者の会社のデータベースが公開されました。 2 つ目の抜け穴は研究者の報告と同じ日に修正されたと Rajaharia 氏はInc42に語った。

「Justdial のレビュアーのデータベースに接続されている API は、会社の設立以来保護されていません。 この抜け穴は、レビュアーの名前、携帯電話番号、場所がインターネット上で公開されていたことを意味します」と Rajaharia 氏は Inc42 に語っています。

Rajaharia は、ビデオ投稿で最近のデータ漏洩について主張しました –

これを確認するために、私たちのチームが作成したいくつかのレストランのレビューのデータを引き出すように彼に依頼しました. 以下は、研究者によって引き出されたデータのスクリーンショットです –

Inc42 の質問に応えて、 Justdialは、そのチームが Rajaharia に連絡し、データ侵害の原因となった問題を修正したと述べました。

Justdial の広報担当者は、以前のデータ漏洩の時点でInc42に次のように語っています。 」 広報担当者はまた、プラットフォーム上の財務情報は二重暗号化形式で保存され、PCI DSS 準拠の監査会社によって定期的に監査されていると述べています。

Justdial のデータ漏洩事件

4 月 12 日、 Rajaharia は、公開されている Justdial のユーザー データについて、Facebook の投稿で初めて書きました。 投稿には、「親愛なるジャストダイヤル、名前、電子メール、携帯電話番号、性別、生年月日、住所、写真、会社、職業、その他の詳細を含む 1 億人のユーザー データが公開されています」と書かれています。

Rajaharia の公開投稿と Justdial への接続試行が何度も失敗してから 4 日後、Inc424 月 16 日に Justdial の 1 億ユーザーのデータベースのデータ漏洩を報告しました。

あなたにおすすめ:

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

4 月 17 日、 Justdial の上級データベース アーキテクトである Rajeev Nair 氏は最終的にこの主張に対応し、 Inc42に次のように語っています。 私たちは過去 2、3 日間努力してきましたが、私たちに関する限り、抜け穴はありません。 私たちのシステムと API のほとんどは誰でも簡単に使用できるものであり、その周りで行っているセキュリティとコーディングの強化があります。 セキュリティ研究者から指摘された最前線をさらに調査し、このような抜け穴があればできるだけ早く逮捕します。」

この声明に続いて、4 月 18 日の朝、Justdial はInc42 に対し、レポートなどで主張されている 1 億人のユーザーなどのデータ侵害は発生していないことを示すさらなる説明を送信しました。

しかし、同日遅く、Rajaharia は、会社の主張にもかかわらず、問題は修正されていないと主張した. 当時、彼は次のように述べていました。 これらの API は、トークンやその他の認証キャプチャも使用しません。」

Rajaharia は後にInc42に対して、Justdial のユーザー データベースの抜け穴が 4 月 18 日の前夜までに修正されたことを確認しましたが、レビュアーのデータに関する最新のリークは、問題がさらに深刻になる可能性があることを示しています。

四半期ごとに 1 億 3,400 万のユニーク ユーザーを持つデータ ジャイアント

Justdial は、連続起業家の VSS Mani によって設立されました。 ムンバイに本拠を置くこの会社は、2013 年 5 月に株式を公開しました。2019 年度第 3 四半期には、同社のプラットフォームには、四半期ごとに約 1 億 3,400 万人のユニークな訪問者がいると主張しています。

ユーザーの 78.5% がモバイルからアクセスしており、2019 年 1 月のアプリの累積ダウンロード数は 2,280 万でした。 Justdial の 2019 年度第 3 四半期の営業収益は 22 億 6,800 万インドルピー、純利益は 5 億 7,300 万インドルピーでした。

ウェブサイトには 25 を超える業種があり、Justdial は電話ベースのローカル ディレクトリとして開始されました。 同社は現在、請求書とリチャージ、食料品と食品の配達などのサービスを提供し、レストラン、タクシー、映画のチケット、航空券、イベントなどの予約を処理しています。

Justdial は、インド全土の 11 都市に支店があり、インドの 250 を超える都市に 11,000 を超えるピンコードをカバーする地上拠点があると主張しています。

インドの新興企業でのデータ漏洩

わずか 2 か月前 (2019 年 2 月) に、旅行予約プラットフォーム Ixigo が 1,800 万件のユーザー レコードを漏えいしたと報告されました。 このリークにより、ユーザー名、電子メール アドレス、暗号化されたパスワードが公開されました。 Ixigo は、古くて時代遅れの MD5 ハッシュ アルゴリズムを使用してパスワードをスクランブルしたと報告されましたが、ハッカーはこれを簡単に解読できました。

2018 年 10 月には、プネーを拠点とするフィンテックのスタートアップ EarlySalary もセキュリティ侵害を報告しました。 この侵害により、潜在的な顧客が Web サイトにアップロードした名前と携帯電話番号が侵害されたと言われています。 ただし、流出したレコードの数はその時点では特定できませんでした。

EarlySalary ニュースのちょうど 1 か月前に、フードテックの新興企業であるFreshMenu も2016 年からのデータ侵害を所有していました。この侵害は、110,000 人のインドのユーザーに影響を与えたと報告されています。

これに先立つ 2017 年には、レストラン検索会社Zomato も 1,700 万人のユーザーのデータ侵害を報告し、ユーザーの電子メール アドレスとハッシュ化されたパスワードを公開しました。

国内でのデータ侵害の増加に伴い、インド政府は政策レベルでいくつかの措置を講じています。 7 月、BN Srikrishna 判事が率いるハイレベル パネルは、その勧告と 2018 年の個人データ保護法案の草案を IT 大臣の Ravi Shankar Prasad に提出しました。 それ以来、インド政府は、インドのインターネットおよびモバイル協会、 NASSCOM 、電子商取引の巨人であるアマゾンとウォルマートなどの経済界や団体のメンバーから、法案の規定をめぐって反発に直面しています。