Justdial борется с многочисленными утечками, когда данные обозревателя становятся достоянием общественности

Опубликовано: 2019-04-30

Ранее в этом месяце лазейка в базе данных Justdial раскрыла данные о более чем 100 млн пользователей.

Однако в базе данных обозревателей компании обнаружилась вторая лазейка.

Всего у компании 134 млн уникальных ежеквартальных пользователей.

Ранее в этом месяце независимый исследователь безопасности Раджшекар Раджахария обнаружил серьезную лазейку в системе безопасности в базе данных индийской гиперлокальной поисковой системы Justdial. Лазейка раскрыла базу данных Justdial, насчитывающую более 100 миллионов пользователей. Эта лазейка была устранена компанией через неделю после публичного сообщения Раджахарии.

Однако исследователь снова обнаружил лазейку (29 апреля) в API компании, которая обнажила базу данных рецензента компании. Вторая лазейка была устранена в тот же день, когда был опубликован отчет исследователя, сообщил Раджахария Inc42 .

«API, подключенный к базе данных рецензентов Justdial, не был защищен с момента основания компании. Эта лазейка означает, что имя рецензента, номер мобильного телефона и местонахождение были общедоступны в Интернете», — сказал Раджахария Inc42.

Раджахария рассказал о недавней утечке данных в видеопосте.

Чтобы подтвердить это, мы попросили его вытащить данные некоторых обзоров ресторанов, сделанных нашей командой. Ниже приведены скриншоты данных, извлеченных исследователем.

В ответ на запрос Inc42 компания Justdial сообщила, что ее команда связалась с Раджахарией и устранила проблему, вызвавшую утечку данных.

Представитель Justdial сообщил Inc42 во время предыдущей утечки данных : «Вся конфиденциальная пользовательская информация, включая любую финансовую информацию, а также любые пользовательские пароли, защищены в соответствии с отраслевыми практиками (кроме того, большинство платформ JD работают на аутентификации на основе OTP). ” Представитель также сообщил, что финансовая информация на его платформах хранится в формате с двойным шифрованием и регулярно проверяется аудиторской фирмой, соответствующей стандарту PCI DSS.

Сага об утечке данных Justdial

12 апреля Раджахария впервые написал об общедоступных пользовательских данных Justdial в посте на Facebook. Сообщение гласило: «Уважаемый Justdial, данные ваших 100 миллионов пользователей, включая имя, адрес электронной почты, номер мобильного телефона, пол, место жительства, адрес, фотографию, компанию, род занятий и другие данные, являются общедоступными».

Через четыре дня после публичного поста Раджахарии и нескольких неудачных попыток с его стороны подключиться к Justdial, Inc42 сообщил об утечке данных из базы данных пользователей Justdial 100Mn 16 апреля.

Рекомендуется для вас:

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии
Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: генеральный директор CitiusTech
Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Как Metaverse изменит индийскую автомобильную промышленность
Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Что означает положение о борьбе со спекуляцией для индийских стартапов?
Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Как стартапы Edtech помогают повышать квалификацию и готовят рабочую силу к будущему
Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

17 апреля старший архитектор базы данных Justdial Раджив Наир, наконец, ответил на претензии и сказал Inc42 : «Мы все еще изучаем систему на наличие таких предполагаемых лазеек. Мы пытались в течение последних двух-трех дней, и, насколько нам известно, лазейки нет. Большинство наших систем и API-интерфейсов защищены от дурака, и мы делаем для этого улучшения безопасности и кодирования. Мы продолжим изучение фронта, указанного исследователем безопасности, и арестуем его, как только сможем, если вообще есть какая-либо лазейка».

После этого заявления утром 18 апреля Justdial отправил Inc42 дополнительное разъяснение, в котором говорилось, что не было утечки данных 100 миллионов пользователей и т. д., как утверждается в отчетах или иным образом.

Однако позже в тот же день Раджахария заявил, что проблема не была устранена, несмотря на заявления компании. В то время он сказал: «До сих пор доступно множество API-интерфейсов, которые любой может использовать для рассылки спама или бомбардировки тысяч или сотен тысяч SMS-сообщений одновременно без их (Justdial или его пользователей) разрешения. Эти API также не используют никаких токенов или каких-либо других проверок подлинности».

Позже Раджахария подтвердил Inc42 , что лазейка в пользовательской базе данных Justdial была устранена накануне 18 апреля, однако последняя утечка данных обозревателей указывает на то, что проблема может быть глубже.

Гигант данных с 134 млн уникальных пользователей в квартал

Justdial был основан серийным предпринимателем ВСС Мани. Компания из Мумбаи стала публичной в мае 2013 года. В третьем квартале 2019 финансового года компания заявила, что ее платформа посещает около 134 миллионов уникальных посетителей в квартал.

Поскольку 78,5% пользователей приходят с мобильных устройств, совокупное количество загрузок приложений в январе 2019 года составило 22,8 млн. Операционная выручка Justdial в третьем квартале 2019 финансового года составила 2 268 млн индийских рупий, а чистая прибыль — 573 млн индийских рупий.

С более чем 25 вертикалями на своем веб-сайте Justdial был запущен как локальный телефонный справочник. В настоящее время компания предлагает такие услуги, как выставление счетов и пополнение счетов, доставка продуктов и еды, а также занимается заказом билетов в рестораны, такси, билеты в кино, авиабилеты, мероприятия и многое другое.

Justdial утверждает, что имеет филиалы в 11 городах Индии с присутствием на местах в более чем 250 индийских городах, охватывающих более 11 тысяч пин-кодов.

Утечки данных в индийских стартапах

Всего два месяца назад (февраль 2019 г.) сообщалось, что платформа бронирования путешествий Ixigo утекла данные 18 миллионов пользователей. Эта утечка раскрыла имена пользователей, адреса электронной почты и зашифрованные пароли. Сообщалось, что Ixigo использовал старый и устаревший алгоритм хеширования MD5 для шифрования паролей, которые хакеры могли легко расшифровать.

В октябре 2018 года финтех-стартап EarlySalary из Пуны также сообщил о нарушении безопасности. Утверждается, что в результате взлома были скомпрометированы имена и номера мобильных телефонов, загруженные потенциальными клиентами на его веб-сайт. Однако количество просочившихся записей в то время определить не удалось.

Всего за месяц до новостей EarlySalary стартап FoodTech FreshMenu также признался в утечке данных в 2016 году. Сообщается, что утечка затронула 110 тысяч индийских пользователей.

До этого в 2017 году компания Zomato, занимающаяся поиском ресторанов, также сообщала об утечке данных 17 миллионов пользователей, раскрывая их адреса электронной почты и хешированные пароли.

В связи с увеличением числа утечек данных в стране правительство Индии предпринимает некоторые шаги на политическом уровне. В июле группа высокого уровня во главе с судьей Б. Н. Шрикришной представила свои рекомендации и проект закона о защите персональных данных 2018 года министру информационных технологий Рави Шанкару Прасаду. С тех пор правительство Индии столкнулось с негативной реакцией со стороны членов бизнес-сообщества и ассоциаций , таких как Интернет и мобильная ассоциация Индии, NASSCOM и гигантов электронной коммерции Amazon и Walmart, по поводу положений законопроекта.