Justdial Scrambles เพื่อเสียบการรั่วไหลหลายครั้งในขณะที่ข้อมูลผู้ตรวจสอบเผยแพร่สู่สาธารณะ

เผยแพร่แล้ว: 2019-04-30

เมื่อต้นเดือนนี้ ช่องโหว่ของฐานข้อมูล Justdial เปิดเผยรายละเอียดของผู้ใช้มากกว่า 100 ล้านคน

อย่างไรก็ตาม มีช่องโหว่ที่สองเกิดขึ้นในฐานข้อมูลผู้ตรวจสอบของบริษัท

บริษัทมีผู้ใช้รายไตรมาสที่ไม่ซ้ำกัน 134 ล้านคนโดยรวม

เมื่อต้นเดือนนี้ นักวิจัยอิสระด้านความปลอดภัย Rajshekhar Rajaharia ได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญในฐานข้อมูลของ Justdial เครื่องมือค้นหาไฮเปอร์โลคัลของอินเดีย ช่องโหว่ดังกล่าวได้เปิดเผยฐานข้อมูลของ Justdial ที่มีผู้ใช้มากกว่า 100 ล้านคน ช่องโหว่นี้ได้รับการแก้ไขโดยบริษัทหลังจากโพสต์สาธารณะของ Rajaharia เป็นเวลาหนึ่งสัปดาห์

อย่างไรก็ตาม ผู้วิจัยได้ค้นพบช่องโหว่อีกครั้ง (ในวันที่ 29 เมษายน) ใน API ของบริษัท ซึ่งเปิดเผยฐานข้อมูลของผู้ตรวจสอบของบริษัท ช่องโหว่ที่สองได้รับการแก้ไขในวันเดียวกันกับรายงานของผู้วิจัย Rajaharia กล่าวกับ Inc42

“API ที่เชื่อมต่อกับฐานข้อมูลของผู้ตรวจสอบของ Justdial นั้นไม่มีการป้องกันตั้งแต่ก่อตั้งบริษัท ช่องโหว่นี้หมายความว่าชื่อผู้รีวิว หมายเลขโทรศัพท์เคลื่อนที่ และตำแหน่งถูกเปิดเผยต่อสาธารณะบนอินเทอร์เน็ต” Rajaharia กล่าวกับ Inc42

Rajaharia ได้ทำกรณีของเขาเกี่ยวกับการรั่วไหลของข้อมูลล่าสุดในโพสต์วิดีโอ –

เพื่อยืนยันสิ่งนี้ เราขอให้เขาดึงข้อมูลรีวิวร้านอาหารที่ทีมของเราจัดทำขึ้น ต่อไปนี้เป็นภาพหน้าจอของข้อมูลที่ผู้วิจัยดึงออกมา -

ในการตอบ คำถาม Inc42 Justdial กล่าวว่าทีมของตนได้ติดต่อ Rajaharia และได้แก้ไขปัญหาที่ทำให้เกิดการละเมิดข้อมูล

โฆษกของ Justdial บอกกับ Inc42 ในขณะที่ข้อมูลรั่วไหลก่อนหน้านี้ ว่า "ข้อมูลผู้ใช้ที่ละเอียดอ่อนทั้งหมดรวมถึงข้อมูลทางการเงินใด ๆ รวมถึงรหัสผ่านของผู้ใช้ได้รับการคุ้มครองตามแนวทางปฏิบัติของอุตสาหกรรม (นอกจากนี้ แพลตฟอร์ม JD ส่วนใหญ่ทำงานบนการตรวจสอบสิทธิ์แบบ OTP) ” โฆษกยังกล่าวอีกว่าข้อมูลทางการเงินบนแพลตฟอร์มของตนได้รับการจัดเก็บในรูปแบบที่มีการเข้ารหัสสองครั้งและได้รับการตรวจสอบอย่างสม่ำเสมอโดยบริษัทตรวจสอบตามมาตรฐาน PCI DSS

The Justdial Data Leak Saga

เมื่อวันที่ 12 เมษายน Rajaharia เขียนเกี่ยวกับข้อมูลผู้ใช้ Justdial ที่เปิดเผยต่อสาธารณะในโพสต์ Facebook โพสต์อ่านว่า “ถึง Justdial ข้อมูลผู้ใช้ 100 ล้านคนของคุณรวมถึงชื่อ อีเมล หมายเลขโทรศัพท์มือถือ เพศ เลขที่ ที่อยู่ รูปภาพ บริษัท อาชีพ และรายละเอียดอื่น ๆ สามารถเข้าถึงได้โดยสาธารณะ”

สี่วันหลังจากโพสต์สาธารณะของ Rajaharia และพยายามเชื่อมต่อกับ Justdial ที่ล้มเหลวหลายครั้ง Inc42 รายงานการรั่วไหลของข้อมูลของฐานข้อมูลผู้ใช้ Justdial 100 ล้านคนเมื่อวันที่ 16 เมษายน

แนะนำสำหรับคุณ:

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย
ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

เมื่อวันที่ 17 เมษายน Rajeev Nair สถาปนิกฐานข้อมูลอาวุโสของ Justdial ได้ตอบสนองต่อข้อเรียกร้องดังกล่าวและบอกกับ Inc42 ว่า "เรายังคงตรวจสอบระบบเพื่อหาช่องโหว่ที่ถูกกล่าวหาดังกล่าว เราพยายามมาสองสามวันแล้ว และเท่าที่เรากังวลก็ไม่มีช่องโหว่ ระบบและ API ส่วนใหญ่ของเรานั้นไม่สามารถเข้าใจผิดได้ และยังมีการปรับปรุงความปลอดภัยและการเข้ารหัสที่เราทำรอบๆ เราจะสำรวจเพิ่มเติมในส่วนหน้าที่นักวิจัยด้านความปลอดภัยชี้ให้เห็นและจับกุมโดยเร็วที่สุด หากมีช่องโหว่เช่นนี้”

ตามคำแถลงนี้ ในเช้าวันที่ 18 เมษายน Justdial ได้ส่ง คำชี้แจงเพิ่มเติม แก่ Inc42 โดยระบุว่าไม่มีการละเมิดข้อมูลของผู้ใช้ 100 ล้านคน ฯลฯ ตามที่อ้างสิทธิ์ในรายงานหรืออย่างอื่น

อย่างไรก็ตาม ในวันเดียวกันนั้น Rajaharia อ้างว่าปัญหายังไม่ได้รับการแก้ไขแม้ว่าบริษัทจะเรียกร้อง เขาพูดในเวลานั้นว่า "API จำนวนมากยังคงมีอยู่ซึ่งทุกคนสามารถใช้เพื่อสแปมหรือทิ้ง SMS หลายพันหรือแสนในครั้งเดียวโดยไม่ได้รับอนุญาต (Justdial หรือผู้ใช้) API เหล่านี้ไม่ได้ใช้โทเค็นหรือแคปต์ชารับรองความถูกต้องอื่นใด”

Rajaharia ยืนยันในภายหลังกับ Inc42 ว่าช่องโหว่ในฐานข้อมูลผู้ใช้ของ Justdial ได้รับการแก้ไขภายในวันที่ 18 เมษายน อย่างไรก็ตาม การรั่วไหลล่าสุดเกี่ยวกับข้อมูลของผู้ตรวจสอบบ่งชี้ว่าปัญหาอาจดำเนินไปอย่างลึกซึ้งยิ่งขึ้น

Data Giant ที่มีผู้ใช้รายไตรมาสที่ไม่ซ้ำกัน 134 ล้านคน

Justdial ก่อตั้งโดยผู้ประกอบการรายหนึ่ง VSS Mani บริษัทในมุมไบได้เข้าสู่ตลาดหลักทรัพย์ในเดือนพฤษภาคม 2556 ในไตรมาสที่สามของปีงบประมาณ 2019 บริษัทของเขาอ้างว่ามีผู้เยี่ยมชมรายไตรมาสที่ไม่ซ้ำกันประมาณ 134 ล้านคนบนแพลตฟอร์ม

ด้วยผู้ใช้ 78.5% ที่มาจากมือถือ การดาวน์โหลดแอปสะสมในเดือนมกราคม 2019 อยู่ที่ 22.8 ล้านคน รายได้จากการดำเนินงานของ Justdial ในไตรมาสที่ 3 ปีงบฯ 2019 อยู่ที่ 2,268 ล้านรูปี โดยมีกำไรสุทธิ 573 ล้านรูปี

Justdial เริ่มต้นด้วยประเภทธุรกิจมากกว่า 25 ประเภทบนเว็บไซต์เป็นไดเรกทอรีท้องถิ่นที่ใช้โทรศัพท์ ปัจจุบันบริษัทให้บริการต่างๆ เช่น การเรียกเก็บเงินและการเติมเงิน ของชำและการจัดส่งอาหาร และจัดการการจองร้านอาหาร รถแท็กซี่ ตั๋วภาพยนตร์ ตั๋วเครื่องบิน งานกิจกรรม และอื่นๆ

Justdial อ้างว่ามีสาขาใน 11 เมืองทั่วอินเดีย โดยมีสาขาอยู่ในเมืองกว่า 250 เมืองในอินเดีย ครอบคลุมรหัสพินมากกว่า 11,000 แห่ง

ข้อมูลรั่วไหลในการเริ่มต้นของอินเดีย

เพียงสองเดือนก่อน (กุมภาพันธ์ 2019) แพลตฟอร์มการจองการเดินทาง Ixigo ได้รับการรายงานว่ามีการรั่วไหลของข้อมูลผู้ใช้ 18 ล้านคน การรั่วไหลนี้เปิดเผยชื่อผู้ใช้ ที่อยู่อีเมล และรหัสผ่านที่มีสัญญาณรบกวน มีรายงานว่า Ixigo ได้ใช้อัลกอริธึมการแฮช MD5 ที่เก่าและล้าสมัยในการแย่งชิงรหัสผ่าน ซึ่งแฮกเกอร์สามารถถอดรหัสได้อย่างง่ายดาย

ในเดือนตุลาคม 2018 EarlySalary สตาร์ทอัพด้าน Fintech ที่ใช้ Pune ก็รายงานการละเมิดความปลอดภัยเช่นกัน มีการกล่าวว่าการละเมิดดังกล่าวทำให้ชื่อและหมายเลขโทรศัพท์มือถือที่อัปโหลดโดยผู้มีโอกาสเป็นลูกค้าบนเว็บไซต์ของตนเสียหาย อย่างไรก็ตาม จำนวนบันทึกที่รั่วไหลในขณะนั้นไม่สามารถระบุได้

เพียงหนึ่งเดือนก่อนข่าว EarlySalary บริษัทสตาร์ทอัพด้านเทคโนโลยีด้านอาหาร FreshMenu ก็มีการ ละเมิดข้อมูลในปี 2559 เช่นกัน มีรายงานว่าการละเมิดดังกล่าวส่งผลกระทบต่อผู้ใช้ชาวอินเดียจำนวน 110,000 ราย

ก่อนหน้านั้นในปี 2560 บริษัทค้นพบร้านอาหาร Zomato ก็รายงานการละเมิดข้อมูลของผู้ใช้ 17 ล้าน คนเช่นกัน โดยเปิดเผยที่อยู่อีเมลของผู้ใช้และรหัสผ่านที่แฮช

ด้วยจำนวนการละเมิดข้อมูลที่เพิ่มขึ้นในประเทศ รัฐบาลอินเดียได้ดำเนินการบางอย่างในระดับนโยบาย ในเดือนกรกฎาคม คณะกรรมการระดับสูงที่นำโดย Justice BN Srikrishna ได้ส่งข้อเสนอแนะและร่างกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลปี 2018 ถึง Ravi Shankar Prasad รัฐมนตรีกระทรวงไอที ตั้งแต่นั้นมา รัฐบาลอินเดียต้องเผชิญกับการฟันเฟืองจากสมาชิกของชุมชนธุรกิจและสมาคม ต่างๆ เช่น Internet and Mobile Association of India, NASSCOM และยักษ์ใหญ่ด้านอีคอมเมิร์ซอย่าง Amazon และ Walmart เกี่ยวกับบทบัญญัติของร่างกฎหมายนี้