검토자 데이터가 공개됨에 따라 여러 누출을 막는 Justdial 스크램블

이달 초, 독립 보안 ​​연구원인 Rajshekhar Rajaharia는 인도의 하이퍼로컬 검색 엔진 Justdial의 데이터베이스에서 주요 보안 허점을 발견했습니다. 허점은 1억 명이 넘는 사용자로 구성된 Justdial의 데이터베이스를 노출시켰습니다. 이 허점은 Rajaharia의 공개 게시물의 일주일 후에 회사에 의해 수정되었습니다.

그러나 연구원은 회사의 리뷰어 데이터베이스를 노출시키는 회사 API에서 허점(4월 29일)을 다시 발견했습니다. 두 번째 허점은 연구원의 보고 당일에 수정되었다고 Rajaharia는 Inc42 에 말했습니다.

“Justdial의 리뷰어 데이터베이스에 연결된 API는 회사 창립 이래로 보호되지 않았습니다. 이 허점은 검토자의 이름, 휴대폰 번호 및 위치가 인터넷에서 공개적으로 사용 가능하다는 것을 의미합니다.”라고 Rajaharia가 Inc42에 말했습니다 .

Rajaharia는 비디오 게시물에서 최근 데이터 유출에 대해 주장했습니다.

이를 확인하기 위해 우리는 그에게 우리 팀이 작성한 일부 레스토랑 리뷰 데이터를 가져오도록 요청했습니다. 다음은 연구원이 추출한 데이터의 스크린샷입니다.

Inc42 쿼리에 대한 응답으로 Justdial은 팀이 Rajaharia에 연락하여 데이터 유출을 일으킨 문제를 수정했다고 말했습니다.

Justdial 대변인은 초기 데이터 유출 당시 Inc42 에 이렇게 말했습니다 . " 대변인은 또한 플랫폼의 재무 정보가 이중 암호화 형식으로 저장되며 PCI DSS 준수 감사 회사에서 정기적으로 감사한다고 말했습니다.

Justdial 데이터 누출 사가

4월 12일 Rajaharia는 Facebook 게시물에서 공개적으로 사용 가능한 Justdial 사용자 데이터에 대해 처음으로 썼습니다. 게시물에는 "이름, 이메일, 휴대전화 번호, 성별, 학력, 주소, 사진, 회사, 직업 및 기타 세부 정보를 포함한 1억 명의 사용자 데이터를 공개적으로 액세스할 수 있습니다."

Rajaharia의 공개 게시물과 Justdial, Inc42 와의 연결 시도가 여러 번 실패한 지 4일 후 4월 16일 Justdial 1억 사용자 데이터베이스의 데이터 유출이 보고되었습니다.

당신을 위해 추천 된:

자원

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법

아밋 다스

2022년 7월 31일

소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

재스프리트 K.

2022년 7월 31일

자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

바이바브 S.

2022년 7월 31일

자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

차라냐 L.

2022년 7월 31일

자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

안쿠시 S.

2022년 7월 31일

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

타판자나 R.

2022년 7월 31일

4월 17일 Justdial의 수석 데이터베이스 설계자 Rajeev Nair는 마침내 이러한 주장에 응답하고 Inc42 에 다음과 같이 말했습니다. 우리는 지난 2-3일 동안 노력해 왔으며 우리가 우려하는 한 허점이 없습니다. 대부분의 시스템과 API는 완벽하며 보안 및 코딩 강화를 위해 수행하고 있습니다. 보안 연구원이 지적한 전면에 대해 더 자세히 조사하여 이와 같은 허점이 있다면 최대한 빨리 검거할 것”이라고 말했다.

이 성명에 이어 4월 18일 아침 Justdial은 Inc42 에 보고서 등으로 주장된 1억 명의 사용자 등 데이터 유출이 없었다는 추가 설명을 보냈습니다.

그러나 같은 날 나중에 Rajaharia는 회사의 주장에도 불구하고 문제가 해결되지 않았다고 주장했습니다. 그는 그 당시에 “(Justdial 또는 그 사용자) 허가 없이 누구나 한 번에 수천 또는 수십만 개의 SMS를 스팸하거나 폭격하는 데 사용할 수 있는 많은 API를 사용할 수 있습니다. 이러한 API는 토큰이나 기타 인증 보안 문자도 사용하지 않습니다.”

Rajaharia는 나중에 Justdial 사용자 데이터베이스의 허점이 4월 18일 전날까지 수정되었음을 Inc42에 확인했지만 최근 리뷰어 데이터 유출로 인해 문제가 더 심각할 수 있음을 알 수 있습니다 .

1억 3,400만 분기별 고유 사용자를 보유한 데이터 거인

Justdial은 연쇄 창업가 VSS Mani가 설립했습니다. 뭄바이에 기반을 둔 회사는 2013년 5월에 상장했습니다. FY2019의 3분기에 회사는 플랫폼에 약 1억 3400만 명의 순 분기별 방문자가 있다고 주장했습니다.

사용자의 78.5%가 모바일에서 오는 2019년 1월 누적 앱 다운로드 수는 2,280만입니다. Justdial의 FY19 3분기 영업 수익은 INR 2,268백만이고 순이익은 INR 573백만입니다.

웹사이트에 25개 이상의 카테고리가 있는 Justdial은 전화 기반 로컬 디렉토리로 시작되었습니다. 이 회사는 현재 청구서 및 충전, 식료품 및 음식 배달과 같은 서비스를 제공하고 레스토랑, 택시, 영화 티켓, 항공권, 이벤트 등의 예약을 처리합니다.

Justdial은 인도 전역의 11개 도시에 지사를 두고 있으며 11,000개 이상의 암호를 다루는 250개 이상의 인도 도시에 현장을 두고 있다고 주장합니다.

인도 스타트업의 데이터 유출

불과 두 달 전(2019년 2월), 여행 예약 플랫폼 Ixigo는 1,800만 사용자 기록을 유출한 것으로 보고되었습니다. 이 유출로 인해 사용자 이름, 이메일 주소 및 스크램블된 암호가 노출되었습니다. Ixigo는 해커가 쉽게 해독할 수 있는 암호를 스크램블하기 위해 오래되고 오래된 MD5 해싱 알고리즘을 사용한 것으로 보고되었습니다.

2018년 10월, Pune에 기반을 둔 핀테크 스타트업 EarlySalary도 보안 침해를 보고했습니다. 이 침해로 인해 웹사이트에 잠재 고객이 업로드한 이름과 휴대폰 번호가 손상되었다고 합니다. 그러나 당시 유출된 기록의 수는 확인할 수 없었다.

EarlySalary 뉴스가 나오기 불과 한 달 전, 식품 기술 스타트업 FreshMenu도 2016년 데이터 유출 사건을 소유했습니다 . 이 유출 사건으로 110,000명의 인도 사용자가 영향을 받은 것으로 알려졌습니다.

이에 앞서 2017년 레스토랑 검색 회사인 Zomato도 1,700만 사용자의 데이터 유출을 보고하여 사용자의 이메일 주소와 해시된 비밀번호를 노출했습니다.

인도에서 데이터 유출이 증가함에 따라 인도 정부는 정책 수준에서 몇 가지 조치를 취하고 있습니다. 7월 에 BN Srikrishna 대법관이 이끄는 고위급 패널은 IT 장관 Ravi Shankar Prasad에게 권고 사항과 2018 개인 데이터 보호 법안 초안을 제출했습니다. 그 이후로 인도 정부는 법안 초안 조항에 대해 비즈니스 커뮤니티 및 인도 인터넷 모바일 협회, NASSCOM , 전자 상거래 대기업 아마존 및 월마트와 같은 협회의 반발에 직면했습니다.