Justdial twierdzi, że wyciek danych dotykający 100 milionów użytkowników został naprawiony, ale badacz bezpieczeństwa kwestionuje roszczenia

Niezależny badacz bezpieczeństwa odkrył poważną lukę w zabezpieczeniach w bazie danych Justdial hiperlokalnej wyszukiwarki z Bombaju, która ujawniła dane ponad 100 milionów użytkowników.

„Połączenie między aplikacją Justdial a jego bazą danych nie jest chronione, co sprawia, że ​​miliony danych użytkowników są podatne na naruszenie danych”, powiedział Rajshekhar Rajaharia Inc42 . Dodał, że dostęp do danych można było uzyskać publicznie od 2015 roku.

W rozmowie z Inc42, starszy architekt baz danych Justdial, Rajeev Nair, powiedział: „Wciąż badamy system pod kątem wszelkich takich rzekomych luk. Próbujemy od dwóch-trzech dni i jeśli o nas chodzi, nie ma luki. Większość naszych systemów i interfejsów API jest niezawodna, a wokół tego robimy wzbogacenia w zakresie bezpieczeństwa i kodowania”.

Mając na swojej stronie internetowej ponad 25 branż, Justdial zaczynał jako lokalny katalog telefoniczny. Firma oferuje obecnie usługi, takie jak rachunki i doładowania, dostawa artykułów spożywczych i żywności, a także obsługuje rezerwacje w restauracjach, taksówkach, bilety do kina, bilety lotnicze, imprezy i inne.

Justdial ma oddziały w 11 miastach w całych Indiach z obecnością naziemną w ponad 250 indyjskich miastach i obejmuje ponad 11 000 kodów PIN. Firma z Bombaju weszła na giełdę w maju 2013 roku.

Wrażliwe informacje na otwartej przestrzeni

Ujawnione dane mogą prowadzić do dalszych ataków na użytkowników Justdial, jeśli dane zostaną wykorzystane przez cyberprzestępców i hakerów. Rajaharia dodał: „Oprócz numeru telefonu użytkownika i danych osobowych, firma śledzi również historię zakupów i wyszukiwania użytkownika. Są to dane wrażliwe i mogą być wykorzystywane do przeprowadzania ukierunkowanych reklam bez zgody użytkownika.”

W związku z tym Nair powiedział: „Jesteśmy organizacją danych iz tego punktu widzenia rozumiemy wrażliwość danych, które są z nami. Właśnie z tego powodu z naszej strony wykonujemy dużo zabezpieczeń i szyfrowania”.

Rajaharia po raz pierwszy napisał o ujawnionych danych w poście na Facebooku. „ Drogi Justdial Twoje dane o 100 milionach użytkowników, w tym imię i nazwisko, adres e-mail, numer telefonu komórkowego, płeć, data urodzenia, adres, zdjęcie, firma, zawód i inne szczegóły są publicznie dostępne ” – powiedział.

Rajahari udostępnił również następujące zrzuty ekranu danych użytkownika Justdial, które zostały wyodrębnione podczas jego procesu badawczego:

Co gorsza w tym wycieku danych, nikt nie musiał włamywać się na serwery Justdial, aby uzyskać dostęp do danych. Rajaharia powiedział: „Ponieważ dane są dostępne za pośrednictwem publicznego adresu URL i można uzyskać do nich dostęp bez hasła, indyjskie prawo nie zawiera przepisów, które pociągałyby hakera do odpowiedzialności za takie naruszenie danych. Tylko firma będzie ścigana w przypadku takiego wycieku danych.”

Justdial został założony przez seryjnego przedsiębiorcę VSS Mani. Firma odnotowała 132,4 mln unikalnych odwiedzających kwartalnie na swojej platformie w trzecim kwartale roku obrotowego 2019. Przy 78,5% użytkowników pochodzących z urządzeń mobilnych, skumulowane pobrania aplikacji mobilnych w styczniu 2019 r. wyniosły 22,8 mln. Przychody operacyjne Justdialu w III kwartale roku obrotowego 2019 wyniosły 2.268 mln INR przy zysku netto 573 mln INR.

Polecany dla Ciebie:

Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Amit Das

31 lipca 2022

Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jaspreet K.

31 lipca 2022

Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Vaibhav S.

31 lipca 2022

Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

Charanya L.

31 lipca 2022

Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Ankusz S.

31 lipca 2022

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Tapanjana R.

31 lipca 2022

Rosnące wycieki danych w Indiach

Jeśli chodzi o wycieki danych w kontekście indyjskim, pierwszą rzeczą, o której myślimy, jest Aadhaar. Jeszcze w lutym 2019 r . na stronie internetowej Indane wyciekły dane Aadhaar dotyczące ponad 6,7 mln użytkowników zawierające szczegóły, takie jak nazwiska, adresy i numery . Wcześniej, w 2018 r., francuski ekspert ds. cyberbezpieczeństwa Baptiste Robert (na Twitterze występuje pod pseudonimem Elliot Alderson) przesłał linki do stron internetowych zawierających dane Aadhaar tysięcy obywateli Indii. A to tylko dwa przykłady spośród wielu przecieków związanych z Aadhaar z organów państwowych.

Inne indyjskie startupy, w tym firma fintech EarlySalary z Pune i platforma turystyczna Ixigo , również były świadkami przypadków naruszenia danych.

Rząd Indii podejmuje pewne kroki na tym froncie na poziomie polityki. Pod koniec lipca panel wysokiego szczebla pod przewodnictwem sędziego BN Srikrishny przedłożył swoje zalecenia i projekt ustawy o ochronie danych osobowych z 2018 r. ministrowi IT Raviemu Shankarowi Prasadowi. Od tego czasu rząd Indii spotkał się z reakcją członków społeczności biznesowej i stowarzyszeń , takich jak Internet and Mobile Association of India, NASSCOM oraz firm e-commerce, takich jak Amazon i Walmart, w związku z postanowieniami projektu ustawy.

Zastrzeżenia do projektu ustawy zgłosiła również Unia Europejska (UE) . „Jeśli zostanie wdrożony, tego rodzaju przepis prawdopodobnie utrudniłby również transfer danych… w przeciwieństwie do tego, co czasami sugeruje się, dążący przemysł technologiczny w Indiach nie potrzebuje tego rodzaju środków przymusowej lokalizacji” – napisał Bruno Gencarelli, szef Międzynarodowego Przepływu Danych i Ochrony Jednostka w Komisji Europejskiej (KE) .

Po skandalu Facebook-Cambridge Analytica rządy na całym świecie opracowują i wdrażają przepisy dotyczące przepływu danych. Kraje takie jak Japonia, Korea i Nowa Zelandia uchwaliły już przepisy dotyczące ochrony danych oparte na zasadzie lokalizacji danych. Tymczasem w Ameryce Łacińskiej Brazylia uchwaliła własne prawo w sierpniu 2018 r., a Chile ogłosiło utworzenie niezależnego organu ochrony danych.

Aktualizacja 1: 17 kwietnia 2019 | 17:32

Justdial badający wyciek danych

Justdial wysłał Inc42 oświadczenie o dodaniu komentarzy do artykułu.

Starszy architekt baz danych w Justdial, Rajeev Nair, powiedział: „Wciąż badamy system pod kątem wszelkich takich rzekomych luk. Próbujemy od dwóch-trzech dni i jeśli o nas chodzi, nie ma luki. Większość naszych systemów i interfejsów API jest niezawodna, a wokół nich stosujemy wzbogacenia w zakresie bezpieczeństwa i kodowania. Będziemy dalej badać front wskazany przez badacza bezpieczeństwa i aresztować go tak szybko, jak to możliwe, jeśli w ogóle istnieje taka luka.

Aktualizacja 2: 18 kwietnia 2019 | 11:05

Justdial twierdzi, że rozwiązał problem

Justdial przesłał nam teraz dalsze wyjaśnienia w tej sprawie. Rzecznik Justdial powiedział Inc42 : „Nie doszło do naruszenia danych u 100 milionów użytkowników itp., jak twierdzono w raportach lub w inny sposób. Wszystkie poufne informacje użytkownika, w tym wszelkie informacje finansowe, a także hasła użytkowników, są chronione zgodnie z praktykami branżowymi (ponadto większość platform JD działa na uwierzytelnianiu opartym na OTP).” Rzecznik powiedział również, że informacje finansowe na jego platformach są przechowywane w formacie podwójnie zaszyfrowanym i regularnie kontrolowane przez firmę audytorską zgodną z PCI DSS.

„Jednak starsze wersje naszych aplikacji, które obecnie obsługują tylko bardzo niewielką część naszych użytkowników, korzystały z pewnych interfejsów API, na podstawie których wprowadzono określony numer telefonu komórkowego, dostępne były pewne podstawowe dane użytkownika (nie były dostępne żadne informacje finansowe). Ta luka, która istniała na starszych platformach aplikacji, została również naprawiona. Nowsze (obecne) wersje aplikacji, w których dostępna jest większość użytkowników, nie mają powyższej luki”, dodał rzecznik, zanim powiedział, że Justdial wdrożył odpowiednie szyfrowanie dla starszych interfejsów API, które zostały dotknięte. „Chociaż przeprowadzane są regularne audyty, zainicjowaliśmy również niezależny audyt techniczny w celu zidentyfikowania wszelkich istniejących luk w zabezpieczeniach”.

Firma powtórzyła, że ​​nie doszło do naruszenia danych i zostało zweryfikowane przez niezależnego badacza bezpieczeństwa (nazwa nieujawniona). „Justdial ma ~134 miliony unikalnych użytkowników kwartalnych (za kwartał kończący się w grudniu 2018 r.) i mamy solidne systemy, aby zapewnić odpowiednią ochronę informacji o użytkownikach i innych danych”.

Aktualizacja 3: 18 kwietnia 2019 | 12:50

Badacz bezpieczeństwa kwestionuje roszczenia Justdial

W odpowiedzi na ostatnie wyjaśnienie Justdial powyżej, badacz bezpieczeństwa Rajshekhar Rajaharia , który odkrył ten problem, powiedział, że problem nadal nie został rozwiązany. „Wciąż dostępnych jest wiele interfejsów API, z których każdy może spamować lub bombardować tysiące lub setki tysięcy SMS-ów jednocześnie bez zgody (Justdial i użytkowników). Te interfejsy API również nie używają żadnego tokena ani żadnego innego captcha uwierzytelniania. Pomyśl, co się stanie, jeśli ktoś zbombarduje tysiące SMS-ów do Twoich użytkowników jednym kliknięciem za pomocą OTP przy użyciu Twojego API o północy. Powinieneś tam użyć auth lub tokena.”

Skontaktowaliśmy się z Justdial, aby uzyskać odpowiedź na te roszczenia i zaktualizujemy naszą historię, gdy tylko otrzymamy oświadczenie.