Justdial заявляет, что утечка данных, затронувшая 100 миллионов пользователей, устранена, но исследователь безопасности оспаривает претензии

Независимый исследователь безопасности обнаружил серьезную лазейку в базе данных гиперлокальной поисковой системы Justdial из Мумбаи, которая раскрывала пользовательские данные более 100 миллионов пользователей.

«Соединение между приложением Justdial и его базой данных не защищено, что делает миллионы пользовательских данных уязвимыми для утечки данных», — сказал Раджшекар Раджахария Inc42 . Он добавил, что к данным можно получить публичный доступ с 2015 года.

В беседе с Inc42 старший архитектор баз данных Justdial Раджив Наир сказал: «Мы все еще изучаем систему на наличие подобных предполагаемых лазеек. Мы пытались в течение последних двух-трех дней, и, насколько нам известно, лазейки нет. Большинство наших систем и API-интерфейсов защищены от дурака, и мы обогащаем их безопасностью и кодированием».

С более чем 25 вертикалями на своем веб-сайте Justdial начинался как локальный телефонный справочник. В настоящее время компания предлагает такие услуги, как выставление счетов и пополнение счетов, доставка продуктов и еды, а также занимается заказом билетов в рестораны, такси, билеты в кино, авиабилеты, мероприятия и многое другое.

Justdial имеет филиалы в 11 городах Индии с присутствием на местах в более чем 250 индийских городах, охватывающих более 11 тысяч пин-кодов. Компания из Мумбаи стала публичной в мае 2013 года.

Конфиденциальная информация в открытом доступе

Открытые данные могут привести к дальнейшим атакам на пользователей Justdial, если данные будут использованы киберпреступниками и хакерами. Раджахария добавил: «Помимо номера телефона пользователя и личной информации, компания также отслеживает историю покупок и поиска пользователя. Это конфиденциальные данные, и они могут быть использованы для размещения целевой рекламы без согласия пользователя».

На это Наир сказал: «Мы являемся организацией данных, и с этой точки зрения мы понимаем конфиденциальность данных, которые у нас есть. Именно по этой причине мы уделяем много внимания безопасности и шифрованию со своей стороны».

Раджахария впервые написал об обнаруженных данных в посте на Facebook. « Уважаемый Justdial, данные ваших 100 миллионов пользователей, включая имя, адрес электронной почты, номер мобильного телефона, пол, место рождения, адрес, фотографию, компанию, род занятий и другие данные, являются общедоступными», — сказал он.

Раджахари также поделился следующими скриншотами пользовательских данных Justdial, которые были извлечены в процессе его исследования:

Что еще хуже в этой утечке данных, так это то, что никому не пришлось взламывать серверы Justdial для доступа к данным. Раджахария сказал: «Поскольку данные доступны через общедоступный URL-адрес и к ним можно получить доступ без пароля, в индийском законодательстве нет положений, возлагающих на хакера ответственность за такое нарушение данных. Только компания будет привлечена к ответственности в случае такой утечки данных».

Justdial был основан серийным предпринимателем ВСС Мани. Компания сообщила о 132,4 млн уникальных ежеквартальных посетителей на своей платформе в третьем квартале 2019 финансового года. Поскольку 78,5% пользователей приходят с мобильных устройств, совокупное количество загрузок мобильных приложений в январе 2019 года составило 22,8 млн. Операционная выручка Justdial в третьем квартале 2019 финансового года составила 2 268 млн индийских рупий, а чистая прибыль — 573 млн индийских рупий.

Рекомендуется для вас:

Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Амит Дас

31 июля 2022 г.

Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Джасприт К.

31 июля 2022 г.

Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Вайбхав С.

31 июля 2022 г.

Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Чаранья Л.

31 июля 2022 г.

Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Анкуш С.

31 июля 2022 г.

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Тапанджана Р.

31 июля 2022 г.

Утечки данных растут в Индии

Когда речь заходит об утечке данных в индийском контексте, первое, о чем мы думаем, — это Aadhaar. Совсем недавно, в феврале 2019 года, на веб- сайте Indane просочилась информация Aadhaar о более чем 6,7 миллионах пользователей, содержащая такие данные, как имена, адреса и номера . До этого, в 2018 году, французский эксперт по кибербезопасности Батист Робер (который в Твиттере использует псевдоним Эллиот Алдерсон) загрузил ссылки на веб-сайты, содержащие данные Aadhaar тысяч граждан Индии. И это только два примера среди множества утечек, связанных с Aadhaar, из органов государственной власти.

Другие индийские стартапы, включая финтех-компанию EarlySalary из Пуны и туристическую платформу Ixigo , также стали свидетелями случаев утечки данных.

Правительство Индии предпринимает некоторые шаги в этом направлении на политическом уровне. В конце июля группа высокого уровня во главе с судьей Б.Н. Шрикришной представила свои рекомендации и законопроект о защите персональных данных 2018 года министру информационных технологий Рави Шанкару Прасаду. С тех пор правительство Индии столкнулось с негативной реакцией со стороны членов бизнес-сообщества и ассоциаций , таких как Интернет и мобильная ассоциация Индии, NASSCOM , и компаний электронной коммерции, таких как Amazon и Walmart, по поводу положений законопроекта.

Европейский союз (ЕС) также выразил оговорки в отношении законопроекта . «В случае реализации такого рода положения также, вероятно, будут препятствовать передаче данных… вопреки тому, что иногда предполагают, развивающаяся технологическая отрасль Индии не нуждается в такого рода мерах по принудительной локализации», — написал Бруно Дженкарелли, глава отдела международных потоков и защиты данных. Подразделение Европейской комиссии (ЕК) .

После скандала с Facebook и Cambridge Analytica правительства по всему миру разрабатывают и внедряют законы, касающиеся потока данных. Такие страны, как Япония, Корея и Новая Зеландия, уже приняли законы о защите данных, основанные на принципе локализации данных. Тем временем в Латинской Америке Бразилия приняла собственный закон в августе 2018 года, а Чили объявила о создании независимого органа по защите данных.

Обновление 1: 17 апреля 2019 г. | 17:32

Justdial расследует утечку данных

Justdial отправил Inc42 заявление о добавлении комментариев к статье.

Старший архитектор базы данных Justdial Раджив Наир сказал: «Мы все еще изучаем систему на наличие подобных предполагаемых лазеек. Мы пытались в течение последних двух-трех дней, и, насколько нам известно, лазейки нет. Большинство наших систем и API-интерфейсов защищены от дурака, и мы делаем для этого улучшения безопасности и кодирования. Мы продолжим изучение фронта, указанного исследователем безопасности, и арестуем его, как только сможем, если вообще есть подобная лазейка.

Обновление 2: 18 апреля 2019 г. | 11:05

Justdial утверждает, что устранила проблему

Justdial прислал нам дополнительные разъяснения по этому вопросу. Представитель Justdial сообщил Inc42 : «Не было утечки данных 100 миллионов пользователей и т. д., как утверждается в отчетах или иным образом. Вся конфиденциальная информация о пользователях, включая любую финансовую информацию, а также любые пользовательские пароли, защищены в соответствии с отраслевыми практиками (кроме того, большинство платформ JD работают с аутентификацией на основе OTP)». Представитель также сообщил, что финансовая информация на его платформах хранится в формате с двойным шифрованием и регулярно проверяется аудиторской фирмой, соответствующей стандарту PCI DSS.

«Однако более старые версии наших приложений, которые в настоящее время обслуживают лишь очень небольшую часть наших пользователей, использовали определенные API, с помощью которых вводился конкретный номер мобильного телефона, были доступны определенные основные данные пользователя (финансовая информация не была доступна). Эта уязвимость, существовавшая на старых платформах приложений, теперь также исправлена. Более новые (текущие) версии приложения, доступные большинству пользователей, не имеют вышеуказанной уязвимости», — добавил представитель, прежде чем сказать, что Justdial внедрила адекватное шифрование для старых API, которые были затронуты. «Несмотря на то, что проводятся регулярные аудиты, мы также инициировали независимый технический аудит для выявления любых существующих уязвимостей».

Компания подтвердила, что утечки данных не произошло и что это было подтверждено независимым исследователем безопасности (имя не разглашается). «Justdial имеет около 134 миллионов уникальных пользователей в квартал (за квартал, закончившийся в декабре 2018 года), и у нас есть надежные системы, обеспечивающие адекватную защиту пользовательской информации и других данных».

Обновление 3: 18 апреля 2019 г. | 12:50

Исследователь безопасности подвергает сомнению заявления Justdial

В ответ на последнее разъяснение Justdial выше, исследователь безопасности Раджшекар Раджахария , который первым обнаружил проблему, сказал, что проблема до сих пор не решена. «До сих пор доступно множество API-интерфейсов, с помощью которых любой может спамить или бомбардировать тысячи или тысячи SMS-сообщений одновременно без их (Justdial и пользователей) разрешения. Эти API также не используют токены или какие-либо другие проверки подлинности. Подумайте, что произойдет, если кто-то засыпает ваших пользователей тысячами SMS-сообщений одним щелчком мыши с помощью OTP, используя ваш API в полночь. Вы должны использовать авторизацию или токен».

Мы связались с Justdial, чтобы получить их ответ на эти претензии, и обновим нашу историю, как только получим заявление.