• Pagina principala
  • Articole
  • Tehnologie
  • Justdial spune că scurgerea de date care afectează 100 de milioane de utilizatori a fost remediată, dar cercetătorii de securitate contestă pretențiile

Justdial spune că scurgerea de date care afectează 100 de milioane de utilizatori a fost remediată, dar cercetătorii de securitate contestă pretențiile

Publicat: 2019-04-16

Datele utilizatorilor Justdial sunt stocate într-un mod nesecurizat din 2015

Cercetătorul independent de securitate Rajshekhar Rajaharia a descoperit lacuna

Justdial spune că problemele sunt acum rezolvate, dar Rajaharia contestă această afirmație în ultimul răspuns

Un cercetător independent de securitate a descoperit o breșă majoră de securitate în baza de date a motorului de căutare hiperlocal Justdial din Mumbai, care a expus datele utilizatorilor de la peste 100 de milioane de utilizatori.

„Conexiunea dintre aplicația Justdial și baza sa de date nu este protejată, ceea ce face ca milioane de date ale utilizatorilor să fie vulnerabile la încălcarea datelor”, a declarat Rajshekhar Rajaharia pentru Inc42 . El a adăugat că datele ar putea fi accesate public din 2015.

Într-o conversație cu Inc42, arhitectul principal al bazelor de date al Justdial, Rajeev Nair, a spus: „Încă investigăm sistemul pentru orice astfel de presupuse lacune. Am încercat în ultimele două-trei zile și, în ceea ce ne privește, nu există nicio lacună. Cele mai multe dintre sistemele și API-urile noastre sunt sigure și există îmbunătățiri de securitate și codare pe care le facem în jurul lor.”

Cu peste 25 de verticale pe site-ul său, Justdial a început ca un director local bazat pe telefon. Compania oferă în prezent servicii precum facturi și reîncărcare, livrare de alimente și alimente și se ocupă de rezervări pentru restaurante, taxiuri, bilete de film, bilete de avion, evenimente și multe altele.

Justdial are filiale în 11 orașe din India, cu o prezență pe teren în peste 250 de orașe indiene, acoperind mai mult de 11.000 de coduri pin. Compania din Mumbai a devenit publică în mai 2013.

Informații sensibile în aer liber

Datele expuse ar putea duce la alte atacuri asupra utilizatorilor Justdial, dacă datele au fost folosite de criminali cibernetici și hackeri. Rajaharia a adăugat: „Pe lângă numărul de telefon și informațiile personale ale utilizatorilor, compania urmărește și istoricul de căutare și cumpărături al utilizatorilor. Acestea sunt date sensibile și pot fi folosite pentru a realiza reclame direcționate fără consimțământul utilizatorului.”

La aceasta, Nair a spus: „Suntem o organizație de date și din acest punct de vedere, înțelegem sensibilitatea datelor care sunt acolo cu noi. Tocmai din acest motiv, facem multă securitate și criptare din partea noastră.”

Rajaharia a scris pentru prima dată despre datele expuse într-o postare pe Facebook. Dragă Justdial, datele tale celor 100 de milioane de utilizatori, inclusiv nume, e-mail, număr de telefon mobil, sex, naștere, adresă, fotografie, companie, ocupație și alte detalii sunt accesibile publicului”, a spus el.

JustDial Data Breach expune date a 100 de milioane de utilizatori

Rajahari a distribuit, de asemenea, următoarele capturi de ecran ale datelor utilizatorilor Justdial, care au fost extrase în timpul procesului său de cercetare:

JustDial Data Breach expune date a 100 de milioane de utilizatoriJustDial Data Breach expune date a 100 de milioane de utilizatori Ceea ce este mai rău cu această încălcare a datelor este că nimeni nu a trebuit să pirateze serverele Justdial pentru a accesa datele. Rajaharia a spus: „Deoarece datele sunt disponibile printr-o adresă URL publică și pot fi accesate fără o parolă, legea indiană nu are prevederi care să facă hackerul responsabil pentru o astfel de încălcare a datelor. Doar compania va fi urmărită penal în cazul unei astfel de scurgeri de date.”

Justdial a fost fondată de un antreprenor în serie VSS Mani. Compania a raportat 132,4 milioane de vizitatori trimestriali unici pe platforma sa în al treilea trimestru al exercițiului financiar 2019. Cu 78,5% dintre utilizatorii săi provenind de pe mobil, descărcările cumulate de aplicații mobile în ianuarie 2019 au fost de 22,8 milioane. Venitul din exploatare al Justdial în T3 FY19 a fost de 2.268 milioane INR, cu un profit net de 573 milioane INR.

Recomandat pentru tine:

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: CEO CitiusTech
Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Cum va transforma Metaverse industria auto din India
Resurse

Cum va transforma Metaverse industria auto din India

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Cum startup-urile Edtech ajută la dezvoltarea competențelor și pregătesc forța de muncă pentru viitor
Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Scurgeri de date în creștere în India

Când vine vorba de scurgeri de date în contextul indian, primul lucru la care ne gândim este Aadhaar. În februarie 2019, detaliile Aadhaar despre peste 6,7 milioane de utilizatori care conțineau detalii precum nume, adrese și numere au fost divulgate pe site-ul web al lui Indane . Înainte de aceasta, în 2018, expertul francez în securitate cibernetică Baptiste Robert (care poartă pseudonimul Elliot Alderson pe Twitter) a încărcat link-uri de site-uri web care conțineau datele Aadhaar ale mii de cetățeni indieni. Și acestea sunt doar două exemple printre mai multe scurgeri legate de Aadhaar de la organismele guvernamentale de stat.

Alte startup -uri indiene, inclusiv compania fintech din Pune, EarlySalary și platforma de călătorie Ixigo , au fost, de asemenea, martorii unor cazuri de încălcare a datelor.

Guvernul indian face câțiva pași pe acest front la nivel de politică. La sfârșitul lunii iulie , un grup la nivel înalt condus de judecătorul BN Srikrishna și-a prezentat recomandările și proiectul de lege pentru protecția datelor cu caracter personal din 2018 ministrului IT Ravi Shankar Prasad. De atunci, guvernul indian s-a confruntat cu o reacție din partea membrilor comunității de afaceri și ai asociațiilor precum Asociația pentru Internet și Mobile din India, NASSCOM și companii de comerț electronic precum Amazon și Walmart cu privire la prevederile proiectului de lege.

De asemenea, Uniunea Europeană (UE) și-a exprimat rezerve cu privire la proiectul de lege . „Dacă ar fi implementat, acest tip de prevedere ar împiedica, de asemenea, transferurile de date... spre deosebire de ceea ce se sugerează uneori, industria tehnologică din India nu are nevoie de acest tip de măsuri de localizare forțată”, a scris Bruno Gencarelli, șeful International Data Flows and Protection. Unitate la Comisia Europeană (CE) .

După scandalul Facebook-Cambridge Analytica , guvernele din întreaga lume elaborează și pun în aplicare legi privind fluxul de date. Țări precum Japonia, Coreea și Noua Zeelandă au adoptat deja legi privind protecția datelor bazate pe principiul localizării datelor. Între timp, în America Latină, Brazilia și-a adoptat propria lege în august 2018, în timp ce Chile a anunțat înființarea unei autorități independente de protecție a datelor.

Actualizare 1: 17 aprilie 2019 | 17:32

Justdial investighează scurgerea de date

Justdial a trimis Inc42 o declarație despre comentariile adăugate la articol.

Rajeev Nair, arhitectul senior de baze de date al Justdial, a declarat: „Încă investigăm sistemul pentru orice astfel de presupuse lacune. Am încercat în ultimele două-trei zile și, în ceea ce ne privește, nu există nicio lacună. Cele mai multe dintre sistemele și API-urile noastre sunt sigure și există îmbunătățiri de securitate și codare pe care le facem în jurul lor. Vom explora în continuare frontul indicat de cercetătorul de securitate și îl vom aresta cât mai curând posibil, dacă există vreo lacună ca aceasta.”

Actualizare 2: 18 aprilie 2019 | 11:05 AM

Justdial susține că a rezolvat problema

Justdial ne-a trimis acum o clarificare suplimentară în această privință. Un purtător de cuvânt al Justdial a declarat pentru Inc42 : „Nu a existat nicio încălcare a datelor pentru 100 de milioane de utilizatori etc., așa cum se susține în rapoarte sau în alt mod. Toate informațiile sensibile ale utilizatorului, inclusiv orice informații financiare, precum și orice parolă de utilizator sunt protejate conform practicilor din industrie (în plus, majoritatea platformelor JD funcționează pe autentificare bazată pe OTP).” Purtătorul de cuvânt a mai spus că informațiile financiare de pe platformele sale sunt stocate în format dublu criptat și auditate în mod regulat de către firma de audit conformă PCI DSS.

„Cu toate acestea, versiunile mai vechi ale aplicațiilor noastre, care deservesc în prezent doar o mică parte a utilizatorilor noștri, foloseau anumite API-uri, pe baza cărora un anumit număr de telefon mobil era introdus, anumite detalii de bază ale utilizatorului erau accesibile (nu erau accesibile informații financiare). Această vulnerabilitate care exista pe platformele de aplicații mai vechi este, de asemenea, remediată acum. Versiunile mai noi (actuale) ale aplicației în care sunt disponibili majoritatea utilizatorilor nu au vulnerabilitatea de mai sus”, a adăugat purtătorul de cuvânt, înainte de a spune că Justdial a implementat criptarea adecvată pentru API-urile mai vechi care au fost afectate. „Deși se efectuează audituri regulate, am inițiat și un audit tehnologic independent pentru a identifica eventualele vulnerabilități existente.”

Compania a reiterat că nu a avut loc nicio încălcare a datelor și că aceasta a fost verificată de un cercetător independent de securitate (nume nedezvăluit). „Justdial are aproximativ 134 de milioane de utilizatori trimestriali unici (pentru trimestrul care se încheie în decembrie 2018) și avem sisteme solide pentru a ne asigura că informațiile despre utilizatori și alte date rămân protejate în mod adecvat.”

Actualizare 3: 18 aprilie 2019 | ora 12:50

Cercetatorul de securitate pune la îndoială afirmațiile Justdial

Ca răspuns la cea mai recentă clarificare a Justdial de mai sus, cercetătorul de securitate Rajshekhar Rajaharia , care a descoperit problema în primul rând, a spus că problema nu este încă rezolvată. „Sunt încă disponibile o mulțime de API-uri de la care oricine poate trimite spam sau bombarda mii sau lakh de SMS-uri simultan, fără permisiunea lor (Justdial și utilizatori). De asemenea, aceste API-uri nu folosesc nici un simbol sau orice alt captcha de autentificare. Gândiți-vă ce se întâmplă dacă cineva bombardează mii de SMS-uri către utilizatorii dvs. cu un singur clic cu OTP folosind API-ul dvs. la miezul nopții. Ar trebui să utilizați auth sau token acolo.”

scurgere de date justdial

Am contactat Justdial pentru a obține răspunsul lor la aceste afirmații și ne vom actualiza povestea de îndată ce primim o declarație.