Justdial miesza się, aby zatkać wiele wycieków, gdy dane recenzenta upubliczniają się

Opublikowany: 2019-04-30

Na początku tego miesiąca luka w bazie danych Justdial ujawniła szczegóły dotyczące ponad 100 milionów użytkowników

Jednak w bazie recenzentów firmy pojawiła się druga luka

Firma ma łącznie 134 mln unikalnych użytkowników kwartalnych

Na początku tego miesiąca niezależny badacz bezpieczeństwa Rajshekhar Rajaharia odkrył poważną lukę bezpieczeństwa w bazie danych indyjskiej hiperlokalnej wyszukiwarki Justdial. Luka ujawniła bazę danych Justdial zawierającą ponad 100 mln użytkowników. Ta luka została naprawiona przez firmę po tygodniu publicznego postu Rajaharia.

Jednak badacz ponownie odkrył lukę (29 kwietnia) w API firmy, która ujawniła bazę danych recenzenta firmy. Druga luka została naprawiona tego samego dnia co raport badacza, powiedział Rajaharia Inc.

„API połączone z bazą danych recenzentów Justdial było niechronione od momentu założenia firmy. Ta luka oznacza, że ​​imię i nazwisko recenzenta, numer telefonu komórkowego i lokalizacja były publicznie dostępne w Internecie” – powiedział Rajaharia Inc42.

Rajaharia przedstawił swoją sprawę dotyczącą niedawnego wycieku danych w poście wideo:

Aby to potwierdzić, poprosiliśmy go o wyciągnięcie danych z niektórych recenzji restauracji sporządzonych przez nasz zespół. Poniżej znajdują się zrzuty ekranu danych wyciągniętych przez badacza –

W odpowiedzi na zapytanie Inc42 , Justdial powiedział, że jego zespół skontaktował się z Rajaharia i naprawił problem, który spowodował naruszenie danych.

Rzecznik Justdial powiedział Inc42 w czasie wcześniejszego wycieku danych : „Wszystkie poufne informacje użytkownika, w tym wszelkie informacje finansowe, a także hasła użytkowników, są chronione zgodnie z praktykami branżowymi (ponadto większość platform JD działa na uwierzytelnianiu opartym na OTP). ” Rzecznik powiedział również, że informacje finansowe na jego platformach są przechowywane w formacie podwójnie zaszyfrowanym i regularnie kontrolowane przez firmę audytorską zgodną z PCI DSS.

Saga o wycieku danych Justdial

12 kwietnia Rajaharia po raz pierwszy napisał o publicznie dostępnych danych użytkownika Justdial w poście na Facebooku. Post brzmiał: „Drogi Justdial Twoje dane o 100 milionach użytkowników, w tym imię i nazwisko, adres e-mail, numer telefonu komórkowego, płeć, data urodzenia, adres, zdjęcie, firma, zawód i inne dane są publicznie dostępne”.

Cztery dni po publicznym poście Rajaharia i wielu nieudanych próbach połączenia z Justdial, Inc42 zgłosiło wyciek danych z bazy danych użytkowników Justdial 100Mn 16 kwietnia.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

17 kwietnia starszy architekt baz danych Justdial, Rajeev Nair, w końcu odpowiedział na te twierdzenia i powiedział Inc42 : „Nadal badamy system pod kątem wszelkich takich rzekomych luk. Próbujemy od dwóch-trzech dni i jeśli o nas chodzi, nie ma luki. Większość naszych systemów i interfejsów API jest niezawodna, a wokół nich stosujemy wzbogacenia w zakresie bezpieczeństwa i kodowania. Będziemy dalej badać front wskazany przez badacza bezpieczeństwa i aresztować go tak szybko, jak to możliwe, jeśli w ogóle istnieje taka luka.

Po tym oświadczeniu, rankiem 18 kwietnia, Justdial wysłał Inc42 dalsze wyjaśnienia stwierdzające, że nie doszło do naruszenia danych 100 mln użytkowników itp., jak twierdzono w raportach lub w inny sposób.

Jednak później tego samego dnia Rajaharia stwierdził, że problem nie został rozwiązany, pomimo twierdzeń firmy. Powiedział wtedy: „Wciąż dostępnych jest wiele interfejsów API, z których każdy może używać do spamowania lub bombardowania tysięcy lub setek tysięcy SMS-ów naraz bez pozwolenia (Justdial lub jego użytkowników). Te interfejsy API również nie używają żadnego tokena ani żadnego innego captcha uwierzytelniania”.

Rajaharia potwierdził później Inc42 , że luka w bazie danych użytkowników Justdial została naprawiona w przeddzień 18 kwietnia, jednak ostatni przeciek dotyczący danych recenzentów wskazuje, że problem może być głębszy.

Gigant danych z 134 milionami unikalnych użytkowników kwartalnych

Justdial został założony przez seryjnego przedsiębiorcę VSS Mani. Firma z siedzibą w Bombaju zadebiutowała w maju 2013 r. W trzecim kwartale roku obrotowego 2019 firma twierdziła, że ​​ma na swojej platformie około 134 mln unikalnych użytkowników kwartalnych.

Przy 78,5% użytkowników pochodzących z urządzeń mobilnych, skumulowane pobrania aplikacji w styczniu 2019 r. wyniosły 22,8 mln. Przychody operacyjne Justdialu w III kwartale roku obrotowego 2019 wyniosły 2.268 mln INR przy zysku netto 573 mln INR.

Z ponad 25 branżami na swojej stronie internetowej Justdial został uruchomiony jako lokalny katalog telefoniczny. Firma oferuje obecnie usługi, takie jak rachunki i doładowania, dostawa artykułów spożywczych i żywności, a także obsługuje rezerwacje w restauracjach, taksówkach, bilety do kina, bilety lotnicze, imprezy i inne.

Justdial twierdzi, że ma oddziały w 11 miastach w Indiach z obecnością naziemną w ponad 250 indyjskich miastach, obejmujących ponad 11 000 kodów PIN.

Wycieki danych w indyjskich startupach

Zaledwie dwa miesiące temu (luty 2019 r.) platforma rezerwacji podróży Ixigo ujawniła 18 mln rekordów użytkowników. Ten wyciek ujawnił nazwę użytkownika, adresy e-mail i zaszyfrowane hasła. Według doniesień Ixigo używał starego i przestarzałego algorytmu mieszającego MD5 do zaszyfrowania haseł, które hakerzy mogli łatwo rozszyfrować.

W październiku 2018 r. fintech startup EarlySalary z Pune również zgłosił naruszenie bezpieczeństwa. Mówiono, że naruszenie to naruszyło nazwy i numery telefonów komórkowych przesłane przez potencjalnych klientów na jego stronie internetowej. Nie udało się jednak wówczas ustalić liczby wycieków danych.

Zaledwie miesiąc przed wiadomościami EarlySalary, startup foodtech FreshMenu również był winien naruszenia danych z 2016 roku. Naruszenie to podobno dotknęło 110 tysięcy indyjskich użytkowników.

Wcześniej w 2017 roku firma Zomato zajmująca się wykrywaniem restauracji również zgłosiła naruszenie danych 17 milionów użytkowników, ujawniając adresy e-mail użytkowników i zaszyfrowane hasła.

Wraz z rosnącą liczbą naruszeń danych w kraju, rząd Indii podjął pewne kroki na poziomie polityki. W lipcu panel wysokiego szczebla pod przewodnictwem sędziego BN Srikrishny przedłożył swoje zalecenia i projekt ustawy o ochronie danych osobowych z 2018 r. ministrowi IT Raviemu Shankarowi Prasadowi. Od tego czasu rząd indyjski spotkał się z reakcją członków społeczności biznesowej i stowarzyszeń takich jak Internet and Mobile Association of India, NASSCOM oraz gigantów handlu elektronicznego Amazon i Walmart w związku z postanowieniami projektu ustawy.