Justdial กล่าวว่าการรั่วไหลของข้อมูลส่งผลกระทบต่อผู้ใช้ 100 ล้านคนได้รับการแก้ไข แต่นักวิจัยด้านความปลอดภัยโต้แย้งข้อเรียกร้อง
เผยแพร่แล้ว: 2019-04-16ข้อมูลผู้ใช้ของ Justdial ถูกจัดเก็บในลักษณะที่ไม่ปลอดภัยตั้งแต่ปี 2015
นักวิจัยด้านความปลอดภัยอิสระ Rajshekhar Rajaharia ค้นพบช่องโหว่
Justdial กล่าวว่าปัญหาได้รับการแก้ไขแล้ว แต่ Rajaharia โต้แย้งข้อเรียกร้องนี้ในการตอบกลับล่าสุด
นักวิจัยด้านความปลอดภัยอิสระได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญในฐานข้อมูลของ Justdial เครื่องมือค้นหาไฮเปอร์โลคัลในมุมไบ ซึ่งเปิดเผยข้อมูลผู้ใช้จากผู้ใช้มากกว่า 100 ล้านคน
“การเชื่อมต่อระหว่างแอปพลิเคชันของ Justdial กับฐานข้อมูลไม่ได้รับการปกป้อง ซึ่งทำให้ข้อมูลผู้ใช้หลายล้านรายเสี่ยงต่อการละเมิดข้อมูล” Rajshekhar Rajaharia กล่าว กับ Inc42 เขาเสริมว่าข้อมูลสามารถเข้าถึงได้แบบสาธารณะตั้งแต่ปี 2558
ในการสนทนากับ Inc42 Rajeev Nair สถาปนิกฐานข้อมูลอาวุโสของ Justdial กล่าวว่า "เรายังคงตรวจสอบระบบเพื่อหาช่องโหว่ที่ถูกกล่าวหาดังกล่าว เราพยายามมาสองสามวันแล้ว และเท่าที่เรากังวลก็ไม่มีช่องโหว่ ระบบและ API ส่วนใหญ่ของเรานั้นไม่สามารถเข้าใจผิดได้ อีกทั้งยังมีการเสริมความปลอดภัยและการเข้ารหัสที่เราทำอยู่”
Justdial เริ่มต้นด้วยประเภทธุรกิจมากกว่า 25 ประเภทบนเว็บไซต์โดยเริ่มจากไดเรกทอรีท้องถิ่นที่ใช้โทรศัพท์ ปัจจุบันบริษัทให้บริการต่างๆ เช่น การเรียกเก็บเงินและการเติมเงิน ของชำและการจัดส่งอาหาร และจัดการการจองร้านอาหาร รถแท็กซี่ ตั๋วภาพยนตร์ ตั๋วเครื่องบิน งานกิจกรรม และอื่นๆ
Justdial มีสาขาใน 11 เมืองทั่วอินเดีย โดยมีสาขาอยู่ในเมืองกว่า 250 เมืองในอินเดีย ครอบคลุมรหัสพินมากกว่า 11,000 ตัว บริษัทที่ตั้งอยู่ในมุมไบได้เข้าสู่ตลาดหลักทรัพย์ใน เดือนพฤษภาคม 2556
ข้อมูลที่ละเอียดอ่อนในที่เปิดเผย
ข้อมูลที่เปิดเผยอาจนำไปสู่การโจมตีเพิ่มเติมต่อผู้ใช้ Justdial หากข้อมูลถูกใช้โดยอาชญากรไซเบอร์และแฮกเกอร์ Rajaharia กล่าวเสริมว่า "นอกเหนือจากหมายเลขโทรศัพท์และข้อมูลส่วนบุคคลของผู้ใช้แล้ว บริษัทยังติดตามประวัติการซื้อและการค้นหาของผู้ใช้อีกด้วย นี่เป็นข้อมูลที่ละเอียดอ่อนและสามารถใช้เพื่อดำเนินการโฆษณาที่ตรงเป้าหมายโดยไม่ได้รับความยินยอมจากผู้ใช้”
ในการนี้ แนร์กล่าวว่า “เราเป็นองค์กรข้อมูล และจากมุมมองนั้น เราเข้าใจถึงความอ่อนไหวของข้อมูลที่อยู่กับเรา ด้วยเหตุผลนี้เอง เราจึงทำการรักษาความปลอดภัยและการเข้ารหัสจำนวนมากจากจุดสิ้นสุดของเรา”
Rajaharia เขียนเกี่ยวกับข้อมูลที่เปิดเผยในโพสต์ Facebook เป็นครั้งแรก “ เรียน Justdial ข้อมูลผู้ใช้ 100 ล้านคนของคุณรวมถึงชื่อ อีเมล หมายเลขโทรศัพท์มือถือ เพศ เลขที่ ที่อยู่ รูปภาพ บริษัท อาชีพ และรายละเอียดอื่น ๆ สามารถเข้าถึงได้โดยสาธารณะ ” เขากล่าว
Rajahari ยังแชร์ภาพหน้าจอต่อไปนี้ของข้อมูลผู้ใช้ของ Justdial ซึ่งถูกดึงออกมาในระหว่างกระบวนการวิจัยของเขา:
สิ่งที่แย่กว่านั้นเกี่ยวกับการละเมิดข้อมูลนี้คือไม่มีใครต้องแฮ็คเข้าสู่เซิร์ฟเวอร์ของ Justdial เพื่อเข้าถึงข้อมูล Rajaharia กล่าวว่า "เนื่องจากข้อมูลมีอยู่ใน URL สาธารณะและสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่าน กฎหมายของอินเดียไม่มีบทบัญญัติที่จะให้แฮ็กเกอร์รับผิดชอบต่อการละเมิดข้อมูลดังกล่าว เฉพาะบริษัทเท่านั้นที่จะถูกดำเนินคดีในกรณีที่ข้อมูลรั่วไหล”
Justdial ก่อตั้งโดยผู้ประกอบการรายหนึ่ง VSS Mani บริษัทได้รายงานผู้เยี่ยมชมรายไตรมาสที่ไม่ซ้ำกัน 132.4 ล้านคนบนแพลตฟอร์มในไตรมาสที่สามของปีงบประมาณ 2019 ด้วยผู้ใช้ 78.5% ที่มาจากมือถือ การดาวน์โหลดแอปบนอุปกรณ์เคลื่อนที่สะสมในเดือนมกราคม 2019 อยู่ที่ 22.8 ล้านคน รายได้จากการดำเนินงานของ Justdial ในไตรมาสที่ 3 ปีงบฯ 2019 อยู่ที่ 2,268 ล้านรูปี โดยมีกำไรสุทธิ 573 ล้านรูปี
แนะนำสำหรับคุณ:
วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย
ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...
Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...
หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...
ข้อมูลรั่วไหลเพิ่มขึ้นในอินเดีย
เมื่อพูดถึงการรั่วไหลของข้อมูลในบริบทของอินเดีย สิ่งแรกที่เรานึกถึงคือ Aadhaar เมื่อเร็วๆ นี้ในเดือนกุมภาพันธ์ 2019 รายละเอียด Aadhaar ของผู้ใช้กว่า 6.7 ล้านคนที่มีรายละเอียด เช่น ชื่อ ที่อยู่ และ ตัวเลข รั่วไหลออกมาบนเว็บไซต์ ของ Indane ก่อนหน้านั้นในปี 2018 Baptiste Robert ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส (ซึ่งใช้นามแฝงว่า Elliot Alderson บน Twitter) ได้ อัปโหลดลิงก์เว็บไซต์ที่มีข้อมูล Aadhaar ของชาวอินเดียหลายพันคน และนั่นเป็นเพียงสองตัวอย่างจากการรั่วไหลหลายครั้งที่เกี่ยวข้องกับ Aadhaar จากหน่วยงานของรัฐ
บริษัทสตาร์ทอัพใน อินเดียรายอื่นๆ รวมถึง EarlySalary บริษัทฟินเทคในปูเน่ และ แพลตฟอร์มการท่องเที่ยว Ixigo ก็พบเห็นกรณีการละเมิดข้อมูลเช่นกัน
รัฐบาลอินเดียกำลังดำเนินการบางอย่างในระดับนโยบาย ในปลายเดือนกรกฎาคม คณะกรรมการระดับสูงที่นำโดยผู้พิพากษา BN Srikrishna ได้ส่งข้อเสนอแนะและร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี 2018 ถึง Ravi Shankar Prasad รัฐมนตรีกระทรวงไอที ตั้งแต่นั้นมา รัฐบาลอินเดียต้องเผชิญกับการฟันเฟืองจากสมาชิกของชุมชนธุรกิจและสมาคม ต่างๆ เช่น Internet and Mobile Association of India, NASSCOM และบริษัทอีคอมเมิร์ซอย่าง Amazon และ Walmart เกี่ยวกับบทบัญญัติของร่างกฎหมายนี้
สหภาพยุโรป (EU) ได้แสดงข้อสงวนเกี่ยวกับร่างกฎหมาย นี้ด้วย “หากดำเนินการ บทบัญญัติประเภทนี้อาจขัดขวางการถ่ายโอนข้อมูล… ตรงกันข้ามกับสิ่งที่แนะนำในบางครั้ง อุตสาหกรรมเทคโนโลยีที่มุ่งมั่นของอินเดียไม่ต้องการมาตรการบังคับโลคัลไลเซชันประเภทนี้” บรูโน เกนคาเรลลี หัวหน้าแผนกกระแสข้อมูลระหว่างประเทศและการคุ้มครอง เขียน หน่วยที่คณะกรรมาธิการยุโรป (EC) .
หลังจาก เรื่องอื้อฉาว Facebook-Cambridge Analytica รัฐบาลทั่วโลกกำลังร่างและบังคับใช้กฎหมายเกี่ยวกับการไหลของข้อมูล ประเทศต่างๆ เช่น ญี่ปุ่น เกาหลี และนิวซีแลนด์ ได้ผ่านกฎหมายคุ้มครองข้อมูลโดยอิงตามหลักการโลคัลไลเซชันข้อมูลแล้ว ในขณะเดียวกัน ในละตินอเมริกา บราซิลผ่านกฎหมายของตนเองในเดือนสิงหาคม 2018 ในขณะที่ชิลีประกาศจัดตั้งหน่วยงานปกป้องข้อมูลอิสระ
Update 1: 17 เมษายน 2562 | 17:32 น.
Justdial กำลังตรวจสอบ การรั่วไหลของข้อมูล
Justdial ส่งคำสั่ง Inc42 เกี่ยวกับความคิดเห็นถูกเพิ่มลงในบทความ
Rajeev Nair สถาปนิกฐานข้อมูลอาวุโสของ Justdial กล่าวว่า "เรายังคงตรวจสอบระบบเพื่อหาช่องโหว่ที่ถูกกล่าวหาดังกล่าว เราพยายามมาสองสามวันแล้ว และเท่าที่เรากังวลก็ไม่มีช่องโหว่ ระบบและ API ส่วนใหญ่ของเรานั้นไม่สามารถเข้าใจผิดได้ และยังมีการปรับปรุงความปลอดภัยและการเข้ารหัสที่เราทำรอบๆ เราจะสำรวจเพิ่มเติมในส่วนหน้าที่นักวิจัยด้านความปลอดภัยชี้ให้เห็นและจับกุมโดยเร็วที่สุด หากมีช่องโหว่เช่นนี้”
Update 2: 18 เมษายน 2019 | 11:05 น.
Justdial อ้างว่าได้แก้ไขปัญหา
Justdial ได้ส่งคำชี้แจงเพิ่มเติมเกี่ยวกับเรื่องนี้ถึงเรา โฆษก Justdial บอกกับ Inc42 ว่า "ไม่มีการละเมิดข้อมูลของผู้ใช้ 100 ล้านคน ฯลฯ ตามที่อ้างสิทธิ์ในรายงานหรืออย่างอื่น ข้อมูลผู้ใช้ที่ละเอียดอ่อนทั้งหมด รวมถึงข้อมูลทางการเงินใดๆ และรหัสผ่านของผู้ใช้ได้รับการคุ้มครองตามแนวทางปฏิบัติของอุตสาหกรรม (นอกจากนี้ แพลตฟอร์ม JD ส่วนใหญ่ทำงานบนการตรวจสอบสิทธิ์แบบ OTP)” โฆษกยังกล่าวอีกว่าข้อมูลทางการเงินบนแพลตฟอร์มของตนถูกจัดเก็บในรูปแบบที่มีการเข้ารหัสสองครั้ง และได้รับการตรวจสอบอย่างสม่ำเสมอโดยบริษัทตรวจสอบตามมาตรฐาน PCI DSS
“อย่างไรก็ตาม แอพเวอร์ชันเก่าของเรา ซึ่งปัจจุบันรองรับผู้ใช้เพียงส่วนน้อยของเรา กำลังใช้ API บางตัวโดยพื้นฐานจะป้อนหมายเลขโทรศัพท์มือถือโดยเฉพาะ เข้าถึงรายละเอียดผู้ใช้พื้นฐานบางอย่างได้ (ไม่มีข้อมูลทางการเงินที่เข้าถึงได้) ช่องโหว่นี้ที่มีอยู่ในแพลตฟอร์มแอพรุ่นเก่าได้รับการแก้ไขแล้ว แอปเวอร์ชันใหม่กว่า (ปัจจุบัน) ซึ่งผู้ใช้ส่วนใหญ่พร้อมใช้งานไม่มีช่องโหว่ข้างต้น” โฆษกกล่าวเสริม ก่อนที่จะกล่าวว่า Justdial ได้ใช้การเข้ารหัสที่เพียงพอสำหรับ API รุ่นเก่าที่ได้รับผลกระทบ “ในขณะที่มีการตรวจสอบเป็นประจำ เรายังได้ริเริ่มการตรวจสอบทางเทคนิคที่เป็นอิสระเพื่อระบุช่องโหว่ที่มีอยู่”
บริษัทย้ำว่าไม่มีการละเมิดข้อมูลเกิดขึ้น และได้รับการยืนยันโดยนักวิจัยด้านความปลอดภัยอิสระ (ไม่เปิดเผยชื่อ) “Justdial มีผู้ใช้ที่ไม่ซ้ำรายไตรมาสประมาณ 134 ล้านคน (สำหรับไตรมาสสิ้นสุดในเดือนธันวาคม 2018) และเรามีระบบที่แข็งแกร่งพร้อมใช้เพื่อให้แน่ใจว่าข้อมูลผู้ใช้และข้อมูลอื่น ๆ ยังคงได้รับการปกป้องอย่างเพียงพอ”
Update 3: 18 เมษายน 2562 | 12:50 น.
นักวิจัยด้านความปลอดภัยตั้งคำถามกับการอ้างสิทธิ์ของ Justdial
ในการตอบสนองต่อคำชี้แจงล่าสุดของ Justdial ข้างต้น นักวิจัยด้านความปลอดภัย Rajshekhar Rajaharia ซึ่งค้นพบปัญหาตั้งแต่แรกกล่าวว่าปัญหายังไม่ได้รับการแก้ไข “ API จำนวนมากยังคงใช้งานได้ซึ่งทุกคนสามารถสแปมหรือทิ้ง SMS นับพันหรือแสนในครั้งเดียวโดยไม่ได้รับอนุญาต (Justdial และผู้ใช้) API เหล่านี้ยังไม่ใช้โทเค็นหรือแคปต์ชารับรองความถูกต้องอื่นๆ คิดว่าจะเกิดอะไรขึ้นถ้ามีคนส่ง SMS จำนวนมากถึงผู้ใช้ของคุณด้วยการคลิกเพียงครั้งเดียวด้วย OTP โดยใช้ API ของคุณตอนเที่ยงคืน คุณควรใช้การรับรองความถูกต้องหรือโทเค็นที่นั่น”
เราได้ติดต่อ Justdial เพื่อรับคำตอบเกี่ยวกับการอ้างสิทธิ์เหล่านี้ และจะอัปเดตเรื่องราวของเราทันทีที่ได้รับคำชี้แจง