Justdial se luptă pentru a astupa mai multe scurgeri pe măsură ce datele recenzenților devin publice
Publicat: 2019-04-30La începutul acestei luni, o lacună a bazei de date Justdial a expus detalii despre cei peste 100 de milioane de utilizatori
Cu toate acestea, o a doua lacună a apărut în baza de date a evaluatorilor companiei
Compania are 134 de milioane de utilizatori trimestriali unici în total
La începutul acestei luni, un cercetător independent de securitate Rajshekhar Rajaharia, a descoperit o breșă majoră de securitate în baza de date a motorului de căutare hiperlocal indian Justdial. Lacuna a scos la iveală baza de date a Justdial cu peste 100 de milioane de utilizatori. Această lacună a fost remediată de companie după o săptămână de postare publică a lui Rajaharia.
Cu toate acestea, cercetătorul a descoperit din nou o lacună (pe 29 aprilie) în API-urile companiei, care a expus baza de date a recenzentului companiei. A doua lacună a fost remediată în aceeași zi a raportului cercetătorului, a declarat Rajaharia pentru Inc42 .
„API-ul conectat la baza de date a recenzenților Justdial a fost neprotejat de la înființarea companiei. Această lacună înseamnă că numele recenzentului, numărul de telefon mobil și locația erau disponibile public pe internet”, a declarat Rajaharia pentru Inc42.
Rajaharia și-a prezentat cazul despre recenta scurgere de date într-o postare video -
Pentru a confirma acest lucru, l-am rugat să scoată datele unor recenzii de restaurante făcute de echipa noastră. Următoarele sunt capturile de ecran ale datelor extrase de cercetător -
Ca răspuns la o întrebare Inc42 , un Justdial a spus că echipa sa a contactat Rajaharia și a remediat problema care a cauzat încălcarea datelor.
Un purtător de cuvânt al Justdial a declarat pentru Inc42 la momentul scurgerii anterioare de date : „Toate informațiile sensibile ale utilizatorului, inclusiv orice informații financiare, precum și orice parolă de utilizator, sunt protejate conform practicilor din industrie (în plus, majoritatea platformelor JD funcționează pe autentificare bazată pe OTP). ” Purtătorul de cuvânt a mai spus că informațiile financiare de pe platformele sale sunt stocate în format dublu criptat și auditate în mod regulat de firma de audit conformă cu PCI DSS.
Saga Justdial Data Leak
Pe 12 aprilie, Rajaharia a scris pentru prima dată despre datele utilizatorilor Justdial disponibile public într-o postare pe Facebook. Postarea scria: „Dragă Justdial, datele tale celor 100 de milioane de utilizatori, inclusiv numele, e-mailul, numărul de telefon mobil, sexul, data de naștere, adresa, fotografia, compania, ocupația și alte detalii sunt accesibile publicului.”
La patru zile după postarea publică a Rajaharia și mai multe încercări eșuate din partea sa de a se conecta cu Justdial, Inc42 a raportat scurgerea de date a bazei de date a utilizatorilor Justdial 100Mn pe 16 aprilie.
Recomandat pentru tine:
Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...
Cum va transforma Metaverse industria auto din India
Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...
Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...
Pe 17 aprilie, arhitectul principal al bazelor de date al Justdial, Rajeev Nair, a răspuns în cele din urmă la afirmații și a spus Inc42 : „Încă investigăm sistemul pentru orice astfel de presupuse lacune. Am încercat în ultimele două-trei zile și, în ceea ce ne privește, nu există nicio lacună. Cele mai multe dintre sistemele și API-urile noastre sunt sigure și există îmbunătățiri de securitate și codare pe care le facem în jurul lor. Vom explora mai departe frontul indicat de cercetătorul de securitate și îl vom aresta cât mai curând posibil, dacă există vreo lacună ca aceasta.”
În urma acestei declarații, în dimineața zilei de 18 aprilie, Justdial a trimis Inc42 o clarificare suplimentară în care afirmă că nu a existat o încălcare a datelor a 100 de milioane de utilizatori etc., așa cum se susține în rapoarte sau în alt mod.
Mai târziu, în aceeași zi, însă, Rajaharia a susținut că problema nu a fost rezolvată, în ciuda pretențiilor companiei. El a spus la acel moment: „Sunt încă disponibile o mulțime de API-uri de pe care oricine le poate folosi pentru a trimite spam sau a bombarda mii sau mii de mii de SMS-uri simultan, fără permisiunea lor (Justdial sau utilizatorii săi). De asemenea, aceste API-uri nu folosesc nici un token sau niciun alt captcha de autentificare.”
Rajaharia a confirmat ulterior pentru Inc42 că lacuna din baza de date a utilizatorilor Justdial a fost remediată până în ajunul zilei de 18 aprilie, totuși, cea mai recentă scurgere de informații despre datele recenzenților indică faptul că problema poate fi mai adâncă.
Data Giant cu 134 de milioane de utilizatori trimestriali unici
Justdial a fost fondată de un antreprenor în serie VSS Mani. Compania din Mumbai a devenit publică în mai 2013. În al treilea trimestru al exercițiului financiar 2019, compania a susținut că are aproximativ 134 de milioane de vizitatori trimestriali unici pe platforma sa.
Cu 78,5% dintre utilizatorii săi provenind de pe mobil, descărcările sale cumulate de aplicații în ianuarie 2019 au fost de 22,8 milioane. Venitul din exploatare al Justdial în T3 FY19 a fost de 2.268 milioane INR, cu un profit net de 573 milioane INR.
Cu mai mult de 25 de verticale pe site-ul său, Justdial a început ca un director local bazat pe telefon. Compania oferă în prezent servicii precum facturi și reîncărcare, livrare de alimente și alimente și se ocupă de rezervări pentru restaurante, taxiuri, bilete de film, bilete de avion, evenimente și multe altele.
Justdial susține că are filiale în 11 orașe din India, cu o prezență pe teren în peste 250 de orașe indiene, acoperind mai mult de 11.000 de coduri pin.
Scurgeri de date în startup-urile indiene
Cu doar două luni în urmă (februarie 2019), platforma de rezervări de călătorii Ixigo a fost raportată că a divulgat 18 milioane de înregistrări de utilizatori. Această scurgere a expus numele utilizatorilor, adresele de e-mail și parolele amestecate. S-a raportat că Ixigo a folosit un algoritm de hashing MD5 vechi și învechit pentru a codifica parolele, pe care hackerii le-au putut decripta cu ușurință.
În octombrie 2018, startup-ul fintech EarlySalary din Pune a raportat și o încălcare a securității. S-a spus că încălcarea ar fi compromis numele și numerele de telefon mobil încărcate de potențialii clienți pe site-ul său. Cu toate acestea, numărul de înregistrări scurse nu a putut fi determinat la acel moment.
Cu doar o lună înainte de știrile EarlySalary, startup-ul de tehnologie alimentară FreshMenu a susținut și o încălcare a datelor din 2016. Se pare că încălcarea ar fi afectat 110.000 de utilizatori indieni.
Înainte de aceasta, în 2017, compania de descoperire a restaurantelor Zomato a raportat și ea încălcarea datelor a 17 milioane de utilizatori, expunând adresele de e-mail și parolele hashing ale utilizatorilor.
Odată cu creșterea numărului de încălcări ale datelor în țară, guvernul indian a luat câțiva pași la nivel de politică. În iulie , un grup la nivel înalt condus de judecătorul BN Srikrishna și-a prezentat recomandările și proiectul de lege pentru protecția datelor cu caracter personal din 2018 ministrului IT Ravi Shankar Prasad. De atunci, guvernul indian s-a confruntat cu o reacție din partea membrilor comunității de afaceri și a asociațiilor precum Asociația pentru Internet și Mobile din India, NASSCOM și giganții comerțului electronic Amazon și Walmart cu privire la prevederile proiectului de lege.