Justdial diz que vazamento de dados que afeta 100 milhões de usuários foi corrigido, mas pesquisador de segurança contesta alegações
Publicados: 2019-04-16Os dados dos usuários da Justdial são armazenados de forma insegura desde 2015
O pesquisador de segurança independente Rajshekhar Rajaharia descobriu a brecha
Justdial diz que os problemas já foram corrigidos, mas Rajaharia contesta essa afirmação na última resposta
Um pesquisador de segurança independente descobriu uma grande brecha de segurança no banco de dados do mecanismo de busca hiperlocal Justdial, baseado em Mumbai, que expôs dados de usuários de mais de 100 milhões de usuários.
“A conexão entre o aplicativo da Justdial e seu banco de dados não é protegida, o que torna milhões de dados de usuários vulneráveis à violação de dados”, disse Rajshekhar Rajaharia à Inc42 . Ele acrescentou que os dados podem ser acessados publicamente desde 2015.
Em uma conversa com a Inc42, o arquiteto sênior de banco de dados da Justdial, Rajeev Nair, disse: “Ainda estamos investigando o sistema em busca de tais supostas brechas. Temos tentado nos últimos dois ou três dias e, no que nos diz respeito, não há brecha. A maioria de nossos sistemas e APIs são infalíveis e há enriquecimentos de segurança e codificação que fazemos em torno disso.”
Com mais de 25 verticais em seu site, a Justdial começou como um diretório local baseado em telefone. Atualmente, a empresa oferece serviços como contas e recargas, entrega de supermercado e comida, e lida com reservas de restaurantes, táxis, ingressos de cinema, passagens aéreas, eventos e muito mais.
A Justdial tem filiais em 11 cidades da Índia com presença em mais de 250 cidades indianas, cobrindo mais de 11 mil códigos PIN. A empresa com sede em Mumbai abriu seu capital em maio de 2013.
Informações confidenciais ao ar livre
Os dados expostos podem levar a novos ataques aos usuários do Justdial, se os dados forem usados por criminosos cibernéticos e hackers. Rajaharia acrescentou: “Além do número de telefone dos usuários e informações pessoais, a empresa também rastreia o histórico de compras e pesquisas do usuário. Esses são dados confidenciais e podem ser usados para realizar anúncios direcionados sem o consentimento do usuário.”
Para isso, Nair disse: “Somos uma organização de dados e, desse ponto de vista, entendemos a sensibilidade dos dados que estão conosco. Precisamente por esse motivo, fazemos muita segurança e criptografia do nosso lado.”
Rajaharia escreveu pela primeira vez sobre os dados expostos em um post no Facebook. “ Caro Justdial Seus dados de 100 milhões de usuários, incluindo nome, e-mail, número de celular, sexo, dob, endereço, foto, empresa, ocupação e outros detalhes são acessíveis ao público”, disse ele.
Rajahari também compartilhou as seguintes capturas de tela dos dados do usuário da Justdial, que foram extraídas durante seu processo de pesquisa:
O pior dessa violação de dados é que ninguém precisou invadir os servidores da Justdial para acessar os dados. Rajaharia disse: “Como os dados estão disponíveis por meio de um URL público e podem ser acessados sem senha, a lei indiana não tem disposições para responsabilizar o hacker por tal violação de dados. Apenas a empresa será processada em caso de vazamento de dados.”
A Justdial foi fundada por um empreendedor serial VSS Mani. A empresa registrou 132,4 milhões de visitantes trimestrais únicos em sua plataforma no terceiro trimestre do ano fiscal de 2019. Com 78,5% de seus usuários vindos de dispositivos móveis, seus downloads acumulados de aplicativos móveis em janeiro de 2019 foram de 22,8 milhões. A receita operacional da Justdial no terceiro trimestre de 2019 foi de INR 2.268 milhões com lucro líquido de INR 573 milhões.
Recomendado para você:
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Vazamentos de dados em ascensão na Índia
Quando se trata de vazamentos de dados no contexto indiano, a primeira coisa que pensamos é em Aadhaar. Em fevereiro de 2019, detalhes do Aadhaar de mais de 6,7 milhões de usuários contendo detalhes como nomes, endereços e números vazaram no site da Indane . Antes disso, em 2018, o especialista francês em segurança cibernética Baptiste Robert (que atende pelo pseudônimo Elliot Alderson no Twitter) havia carregado links de sites contendo os dados de Aadhaar de milhares de cidadãos indianos. E esses são apenas dois exemplos entre vários vazamentos relacionados ao Aadhaar de órgãos do governo estadual.
Outras startups indianas, incluindo a empresa de tecnologia financeira EarlySalary, com sede em Pune, e a plataforma de viagens Ixigo , também testemunharam casos de violação de dados.
O governo indiano está dando alguns passos nessa frente em nível de política. No final de julho , um painel de alto nível liderado pelo juiz BN Srikrishna apresentou suas recomendações e o projeto de lei de proteção de dados pessoais de 2018 ao ministro de TI Ravi Shankar Prasad. Desde então, o governo indiano enfrentou uma reação de membros da comunidade empresarial e associações como a Internet and Mobile Association of India, NASSCOM e empresas de comércio eletrônico como Amazon e Walmart sobre as disposições do projeto de lei.
A União Europeia (UE) também manifestou reservas sobre o projeto de lei . “Se implementado, esse tipo de disposição provavelmente também dificultaria as transferências de dados… ao contrário do que às vezes é sugerido, a indústria de tecnologia da Índia não precisa desse tipo de medidas de localização forçada”, escreveu Bruno Gencarelli, chefe do International Data Flows and Protection Unidade na Comissão Europeia (CE) .
Após o escândalo Facebook-Cambridge Analytica , governos de todo o mundo estão elaborando e implementando leis sobre o fluxo de dados. Países como Japão, Coréia e Nova Zelândia já aprovaram leis de proteção de dados com base no princípio da localização de dados. Enquanto isso, na América Latina, o Brasil aprovou sua própria lei em agosto de 2018, enquanto o Chile anunciou a criação de uma autoridade independente de proteção de dados.
Atualização 1: 17 de abril de 2019 | 17h32
Justdial investigando o vazamento de dados
A Justdial enviou ao Inc42 uma declaração sobre os comentários que foram adicionados ao artigo.
O arquiteto de banco de dados sênior da Justdial, Rajeev Nair, disse: “Ainda estamos investigando o sistema em busca de tais supostas brechas. Temos tentado nos últimos dois ou três dias e, no que nos diz respeito, não há brecha. A maioria de nossos sistemas e APIs são infalíveis e há enriquecimentos de segurança e codificação que fazemos em torno disso. Vamos explorar mais a frente apontada pelo pesquisador de segurança e prendê-lo o mais rápido possível, se houver alguma brecha como essa.”
Atualização 2: 18 de abril de 2019 | 11h05
Justdial afirma que corrigiu o problema
A Justdial já nos enviou mais um esclarecimento sobre o assunto. Um porta-voz da Justdial disse ao Inc42 : “Não houve violação de dados de 100 milhões de usuários, etc., conforme alegado em relatórios ou de outra forma. Todas as informações confidenciais do usuário, incluindo qualquer informação financeira, bem como qualquer senha de usuário, são protegidas de acordo com as práticas do setor (além disso, a maioria das plataformas JD funciona com autenticação baseada em OTP).” O porta-voz também disse que as informações financeiras em suas plataformas são armazenadas em formato de criptografia dupla e auditadas regularmente pela empresa de auditoria compatível com PCI DSS.
“No entanto, as versões mais antigas de nossos aplicativos, que atualmente atendem apenas a uma fração muito pequena de nossos usuários, usavam certas APIs com base nas quais um número de celular específico era inserido, certos detalhes básicos do usuário eram acessíveis (nenhuma informação financeira estava acessível). Essa vulnerabilidade que existia nas plataformas de aplicativos mais antigas também foi corrigida. As versões mais recentes (atuais) do aplicativo, onde a maioria dos usuários está disponível, não possuem a vulnerabilidade acima ”, acrescentou o porta-voz, antes de dizer que a Justdial implementou criptografia adequada para as APIs mais antigas que foram afetadas. “Embora haja auditorias regulares, também iniciamos uma auditoria técnica independente para identificar quaisquer vulnerabilidades existentes.”
A empresa reiterou que não ocorreu nenhuma violação de dados e que foi verificado por um pesquisador de segurança independente (nome não divulgado). “A Justdial tem cerca de 134 milhões de usuários únicos trimestrais (para o trimestre encerrado em dezembro de 2018) e temos sistemas robustos para garantir que as informações do usuário e outros dados permaneçam adequadamente protegidos.”
Atualização 3: 18 de abril de 2019 | 12h50
Pesquisador de segurança questiona as alegações da Justdial
Em resposta ao último esclarecimento da Justdial acima, o pesquisador de segurança Rajshekhar Rajaharia , que descobriu o problema em primeiro lugar, disse que o problema ainda não foi corrigido. “Muitas APIs ainda estão disponíveis a partir das quais qualquer pessoa pode enviar spam ou bombardear milhares ou lakhs de SMSs de uma só vez sem sua permissão (Justdial e usuários). Essas APIs também não usam nenhum token ou qualquer outro captcha de autenticação. Pense no que acontece se alguém bombardear milhares de SMSs para seus usuários com um único clique com OTP usando sua API à meia-noite. Você deve usar auth ou token lá.”
Entramos em contato com a Justdial para obter sua resposta sobre essas reivindicações e atualizaremos nossa história assim que recebermos uma declaração.