Justdial se esforça para tapar vários vazamentos à medida que os dados do revisor se tornam públicos

Publicados: 2019-04-30

No início deste mês, uma brecha no banco de dados da Justdial expôs detalhes de seus mais de 100 milhões de usuários

No entanto, uma segunda brecha surgiu no banco de dados de revisores da empresa

A empresa tem 134 milhões de usuários trimestrais únicos em geral

No início deste mês, um pesquisador de segurança independente Rajshekhar Rajaharia, descobriu uma grande brecha de segurança no banco de dados do mecanismo de busca hiperlocal indiano Justdial. A brecha expôs o banco de dados da Justdial de mais de 100 milhões de usuários. Essa brecha foi corrigida pela empresa após uma semana do cargo público de Rajaharia.

No entanto, o pesquisador descobriu novamente uma brecha (em 29 de abril) nas APIs da empresa que expôs o banco de dados do revisor da empresa. A segunda brecha foi corrigida no mesmo dia do relatório do pesquisador, disse Rajaharia ao Inc42 .

“A API conectada ao banco de dados de revisores da Justdial está desprotegida desde a fundação da empresa. Essa brecha significa que o nome do revisor, número de celular e localização estavam disponíveis publicamente na internet”, disse Rajaharia ao Inc42.

Rajaharia fez seu caso sobre o recente vazamento de dados em um post de vídeo –

Para confirmar isso, pedimos a ele que retirasse os dados de algumas avaliações de restaurantes feitas por nossa equipe. A seguir estão as capturas de tela dos dados retirados pelo pesquisador -

Em resposta a uma consulta do Inc42 , a Justdial disse que sua equipe entrou em contato com Rajaharia e corrigiu o problema que causou a violação de dados.

Um porta-voz da Justdial disse à Inc42 no momento do vazamento de dados anterior : “Todas as informações confidenciais do usuário, incluindo informações financeiras, bem como senhas de usuários são protegidas de acordo com as práticas do setor (além disso, a maioria das plataformas JD funciona com autenticação baseada em OTP). ” O porta-voz também disse que as informações financeiras em suas plataformas são armazenadas em formato de criptografia dupla e auditadas regularmente pela empresa de auditoria compatível com PCI DSS.

A saga do vazamento de dados da Justdial

Em 12 de abril, Rajaharia escreveu pela primeira vez sobre os dados do usuário Justdial disponíveis publicamente em um post no Facebook. A postagem dizia: “Prezado Justdial Seus dados de 100 milhões de usuários, incluindo nome, e-mail, número de celular, sexo, dob, endereço, foto, empresa, ocupação e outros detalhes são acessíveis publicamente”.

Quatro dias após a postagem pública do Rajaharia e várias tentativas fracassadas de sua parte de se conectar com a Justdial, Inc42 relatou o vazamento de dados do banco de dados de usuários da Justdial 100Mn em 16 de abril.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Em 17 de abril, o arquiteto sênior de banco de dados da Justdial, Rajeev Nair, finalmente respondeu às alegações e disse à Inc42 : “Ainda estamos investigando o sistema em busca de possíveis brechas. Temos tentado nos últimos dois ou três dias e, no que nos diz respeito, não há brecha. A maioria de nossos sistemas e APIs são infalíveis e há enriquecimentos de segurança e codificação que fazemos em torno disso. Vamos explorar mais a frente apontada pelo pesquisador de segurança e prendê-lo o mais rápido possível, se houver alguma brecha como essa.”

Após esta declaração, na manhã de 18 de abril, a Justdial enviou à Inc42 um esclarecimento adicional afirmando que não houve violação de dados de 100 milhões de usuários, etc., conforme alegado em relatórios ou não.

Mais tarde, no mesmo dia, no entanto, Rajaharia alegou que o problema não havia sido resolvido, apesar das alegações da empresa. Ele havia dito na época: “Muitas APIs ainda estão disponíveis a partir das quais qualquer pessoa pode usar para enviar spam ou bombardear milhares ou lakhs de SMSs de uma só vez sem a permissão (da Justdial ou de seus usuários). Essas APIs também não usam nenhum token ou qualquer outro captcha de autenticação.”

Rajaharia mais tarde confirmou ao Inc42 que a brecha no banco de dados de usuários da Justdial foi corrigida na véspera de 18 de abril, no entanto, o último vazamento em torno de dados de revisores indica que o problema pode ser mais profundo.

Gigante de dados com 134 milhões de usuários únicos trimestrais

A Justdial foi fundada por um empreendedor serial VSS Mani. A empresa com sede em Mumbai abriu seu capital em maio de 2013. No terceiro trimestre do ano fiscal de 2019, a empresa afirmou ter cerca de 134 milhões de visitantes trimestrais únicos em sua plataforma.

Com 78,5% de seus usuários vindos de dispositivos móveis, seus downloads acumulados de aplicativos em janeiro de 2019 foram de 22,8 milhões. A receita operacional da Justdial no terceiro trimestre de 2019 foi de INR 2.268 milhões com lucro líquido de INR 573 milhões.

Com mais de 25 verticais em seu site, o Justdial foi iniciado como um diretório local baseado em telefone. Atualmente, a empresa oferece serviços como contas e recargas, entrega de supermercado e comida, e lida com reservas de restaurantes, táxis, ingressos de cinema, passagens aéreas, eventos e muito mais.

A Justdial afirma ter filiais em 11 cidades da Índia, com presença em mais de 250 cidades indianas, cobrindo mais de 11 mil códigos PIN.

Vazamentos de dados em startups indianas

Apenas dois meses atrás (fevereiro de 2019), a plataforma de reservas de viagens Ixigo vazou 18 milhões de registros de usuários. Esse vazamento expôs nomes de usuários, endereços de e-mail e senhas embaralhadas. Foi relatado que o Ixigo usou um algoritmo de hash MD5 antigo e desatualizado para embaralhar senhas, que os hackers conseguiram decifrar facilmente.

Em outubro de 2018, a startup de tecnologia financeira EarlySalary, com sede em Pune, também relatou uma violação de segurança. A violação teria comprometido os nomes e números de celular enviados por clientes em potencial em seu site. No entanto, o número de registros vazados não pôde ser determinado naquele momento.

Apenas um mês antes das notícias do EarlySalary, a startup de tecnologia de alimentos FreshMenu também havia assumido uma violação de dados de 2016. A violação teria afetado 110 mil usuários indianos.

Antes disso, em 2017, a empresa de descoberta de restaurantes Zomato também relatou a violação de dados de 17 milhões de usuários, expondo os endereços de e-mail e senhas com hash dos usuários.

Com o número crescente de violações de dados no país, o governo indiano vem tomando algumas medidas em nível de política. Em julho , um painel de alto nível liderado pelo juiz BN Srikrishna apresentou suas recomendações e o projeto de lei de proteção de dados pessoais de 2018 ao ministro de TI Ravi Shankar Prasad. Desde então, o governo indiano enfrentou uma reação de membros da comunidade empresarial e associações como a Internet and Mobile Association of India, NASSCOM e os gigantes do comércio eletrônico Amazon e Walmart sobre as disposições do projeto de lei.