Justdial은 1억 명의 사용자에게 영향을 미치는 데이터 누출이 수정되었지만 보안 연구원이 주장에 대해 이의를 제기했다고 말합니다.

독립 보안 ​​연구원이 뭄바이에 기반을 둔 하이퍼로컬 검색 엔진 Justdial의 데이터베이스에서 1억 명이 넘는 사용자의 사용자 데이터를 노출시킨 주요 보안 허점을 발견했습니다.

Rajshekhar Rajaharia는 Inc42 에 "Justdial의 애플리케이션과 데이터베이스 간의 연결이 보호되지 않아 수백만 명의 사용자 데이터가 데이터 유출에 취약합니다 ."라고 말했습니다 . 그는 2015년부터 데이터에 공개적으로 액세스할 수 있다고 덧붙였다.

Inc42와의 대화 에서 Justdial의 선임 데이터베이스 설계자인 Rajeev Nair는 다음과 같이 말했습니다. 우리는 지난 2-3일 동안 노력해 왔으며 우리가 우려하는 한 허점이 없습니다. 대부분의 시스템과 API는 완벽하며 보안 및 코딩 강화를 위해 수행하고 있습니다."

웹사이트에 25개 이상의 카테고리가 있는 Justdial은 전화 기반 로컬 디렉토리로 시작했습니다. 이 회사는 현재 청구서 및 충전, 식료품 및 음식 배달과 같은 서비스를 제공하고 레스토랑, 택시, 영화 티켓, 항공권, 이벤트 등의 예약을 처리합니다.

Justdial은 인도 전역의 11개 도시에 지사를 두고 있으며 11,000개 이상의 암호를 다루는 250개 이상의 인도 도시에 현장을 두고 있습니다. 뭄바이에 기반을 둔 이 회사는 2013년 5월 에 상장했습니다 .

민감한 정보 공개

노출된 데이터는 사이버 범죄자와 해커가 데이터를 사용하는 경우 Justdial 사용자에 대한 추가 공격으로 이어질 수 있습니다. Rajaharia는 “사용자 전화번호와 개인 정보 외에도 회사는 사용자의 구매 및 검색 기록을 추적합니다. 이것은 민감한 데이터이며 사용자의 동의 없이 표적 광고를 수행하는 데 사용될 수 있습니다.”

이에 대해 Nair는 “저희는 데이터 조직이고 그런 관점에서 우리와 함께하는 데이터의 민감도를 이해하고 있습니다. 바로 이러한 이유로 우리는 끝에서 많은 보안과 암호화를 수행합니다.”

Rajaharia는 노출된 데이터에 대해 Facebook 게시물에 처음으로 썼습니다. " 친애하는 Justdial에게 이름, 이메일, 휴대폰 번호, 성별, 학력, 주소, 사진, 회사, 직업 및 기타 세부 정보를 포함한 1억 명의 사용자 데이터는 공개적으로 액세스할 수 있습니다. "라고 그는 말했습니다.

Rajahari는 또한 연구 과정에서 추출한 Justdial 사용자 데이터의 다음 스크린샷을 공유했습니다.

이 데이터 유출의 더 나쁜 점은 누구도 데이터에 액세스하기 위해 Justdial의 서버를 해킹할 필요가 없었다는 것입니다. Rajaharia는 "공개 URL을 통해 데이터를 사용할 수 있고 암호 없이 액세스할 수 있기 때문에 인도 법에는 이러한 데이터 침해에 대한 해커의 책임을 묻는 조항이 없습니다. 이러한 정보가 유출될 경우 해당 업체만 기소될 것”이라고 말했다.

Justdial은 연쇄 창업가 VSS Mani가 설립했습니다. 회사는 FY2019의 3분기에 플랫폼에서 1억 3,240만 명의 고유한 분기별 방문자를 보고했습니다. 사용자의 78.5%가 모바일에서 오는 가운데 2019년 1월 누적 모바일 앱 다운로드는 2,280만 건이었습니다. Justdial의 FY19 3분기 영업 수익은 INR 2,268백만이고 순이익은 INR 573백만입니다.

당신을 위해 추천 된:

자원

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법

아밋 다스

2022년 7월 31일

소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

재스프리트 K.

2022년 7월 31일

자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

바이바브 S.

2022년 7월 31일

자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

차라냐 L.

2022년 7월 31일

자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

안쿠시 S.

2022년 7월 31일

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

타판자나 R.

2022년 7월 31일

인도에서 증가하는 데이터 유출

인도 상황에서 데이터 유출과 관련하여 우리가 가장 먼저 생각하는 것은 Aadhaar입니다. 최근 2019년 2월 에 이름, 주소 및 번호 와 같은 세부 정보가 포함된 670만 명이 넘는 사용자의 Aadhaar 세부 정보가 Indane 의 웹사이트에 유출되었습니다 . 2018년 이전에 프랑스 사이버 보안 전문가인 Baptiste Robert(트위터에서 Elliot Alderson이라는 가명으로 사용) 는 수천 명의 인도 시민의 Aadhaar 데이터가 포함된 웹사이트 링크를 업로드 했습니다. 그리고 그것은 주 정부 기관에서 Aadhaar와 관련된 여러 누출 중 두 가지 예에 불과합니다.

푸네에 본사를 둔 핀테크 회사 EarlySalary 와 여행 플랫폼 Ixigo 를 포함한 다른 인도 스타트업 도 데이터 유출 사례를 목격했습니다.

인도 정부는 정책적 차원에서 이 전선에서 몇 가지 조치를 취하고 있습니다. 7월 말 BN Srikrishna 대법관이 이끄는 고위급 패널은 IT 장관 Ravi Shankar Prasad에게 권고 사항과 개인 데이터 보호 법안 2018 초안을 제출했습니다. 그 이후로 인도 정부는 법안 초안 조항에 대해 비즈니스 커뮤니티 및 인도 인터넷 모바일 협회, NASSCOM 과 같은 협회, 아마존 및 월마트 와 같은 전자 상거래 회사 의 반발에 직면했습니다.

유럽 ​​연합 (EU)도 법안 초안에 대해 유보를 표명했습니다 . 브루노 젠카렐리( Bruno Gencarelli) 국제 데이터 흐름 및 보호 국장은 "이런 종류의 규정이 시행된다면 데이터 전송을 방해할 가능성이 있다"고 말했다 . 유럽연합 집행위원회(EC)의 부서 .

Facebook-Cambridge Analytica 스캔들 이후 , 전 세계 정부는 데이터 흐름에 관한 법률 초안을 작성하고 시행하고 있습니다. 일본, 한국, 뉴질랜드 등의 국가는 이미 데이터 현지화 원칙에 따라 데이터 보호법을 통과시켰습니다. 한편, 라틴 아메리카에서는 브라질이 2018년 8월에 자체법을 통과시켰고, 칠레는 독립적인 데이터 보호 기관 설립을 발표했습니다.

업데이트 1: 2019년 4월 17일 | 오후 5시 32분

데이터 유출 을 조사하는 Justdial

Justdial이 Inc42 에 보낸 의견에 대한 설명이 기사에 추가되었습니다.

Justdial의 선임 데이터베이스 설계자 Rajeev Nair는 “우리는 그러한 의심되는 허점에 대해 시스템을 계속 조사하고 있습니다. 우리는 지난 2-3일 동안 노력해 왔으며 우리가 우려하는 한 허점이 없습니다. 대부분의 시스템과 API는 완벽하며 보안 및 코딩 강화를 위해 수행하고 있습니다. 보안 연구원이 지적한 전면에 대해 더 자세히 조사하고 이와 같은 허점이 있다면 최대한 빨리 검거할 것”이라고 말했다.

업데이트 2: 2019년 4월 18일 | 오전 11:05

문제를 해결한 정당한 주장

Justdial은 이제 이 문제에 대한 추가 설명을 보냈습니다. Justdial 대변인은 Inc42 에 "보고서 등에 명시된 바와 같이 1억 명의 사용자 등 데이터 유출이 발생한 적이 없습니다. 금융 정보와 사용자 비밀번호를 포함한 모든 민감한 사용자 정보는 업계 관행에 따라 보호됩니다(또한 대부분의 JD 플랫폼은 OTP 기반 인증에서 작동합니다).” 대변인은 또한 플랫폼의 재무 정보가 이중 암호화 형식으로 저장되며 PCI DSS 준수 감사 회사에서 정기적으로 감사한다고 말했습니다.

“그러나 현재 우리 사용자의 극소수에 불과한 이전 버전의 앱은 특정 휴대전화 번호를 기반으로 특정 기본 사용자 세부 정보에 액세스할 수 있는 특정 API를 사용하고 있었습니다(금융 정보에 액세스할 수 없음). 이전 앱 플랫폼에 존재했던 이 취약점도 이제 수정되었습니다. 대다수의 사용자가 사용할 수 있는 최신(현재) 버전의 앱에는 위의 취약점이 없습니다.”라고 대변인은 Justdial이 영향을 받은 이전 API에 대해 적절한 암호화를 구현했다고 말했습니다. "정기적인 감사가 수행되는 동안 우리는 기존 취약점을 식별하기 위해 독립적인 기술 감사도 시작했습니다."

회사는 데이터 유출이 발생하지 않았으며 독립적인 보안 연구원(이름 미공개)에 의해 확인되었음을 거듭 강조했습니다. "Justdial의 분기별 순 사용자 수는 1억 3,400만 명(2018년 12월 말 분기 기준)이며 우리는 사용자 정보 및 기타 데이터가 적절하게 보호되도록 보장하는 강력한 시스템을 갖추고 있습니다."

업데이트 3: 2019년 4월 18일 | 오후 12시 50분

보안 연구원은 Justdial의 주장에 의문을 제기합니다.

위의 Justdial의 최근 설명에 대해 처음에 이 문제를 발견한 보안 연구원 Rajshekhar Rajaharia 는 문제가 아직 해결되지 않았다고 말했습니다. “누구나 (Justdial 및 사용자) 허가 없이 한 번에 수천 또는 수십만 개의 SMS를 스팸하거나 폭격할 수 있는 많은 API를 사용할 수 있습니다. 이러한 API는 토큰이나 기타 인증 보안 문자도 사용하지 않습니다. 누군가 자정에 API를 사용하여 OTP를 사용하여 클릭 한 번으로 사용자에게 수십만 개의 SMS를 폭격하면 어떻게 될지 생각해 보십시오. 거기에서 인증이나 토큰을 사용해야 합니다.”

우리는 이러한 주장에 대한 답변을 얻기 위해 Justdial에 연락했으며 성명서를 받는 즉시 우리의 이야기를 업데이트할 것입니다.