Justdial, 100 Milyon Kullanıcıyı Etkileyen Veri Sızıntısının Düzeltildiğini Söyledi, Ancak Güvenlik Araştırmacısı İtiraz Ediyor

Bağımsız bir güvenlik araştırmacısı, Mumbai merkezli hiper yerel arama motoru Justdial'in 100 milyondan fazla kullanıcıdan gelen kullanıcı verilerini açığa çıkaran veritabanında büyük bir güvenlik boşluğu keşfetti.

Rajshekhar Rajaharia , Inc42'ye “Justdial'in uygulaması ile veritabanı arasındaki bağlantı korunmuyor, bu da milyonlarca kullanıcı verisini veri ihlaline karşı savunmasız hale getiriyor” dedi . Verilere 2015'ten beri herkese açık olarak erişilebileceğini de sözlerine ekledi.

Justdial'in kıdemli veritabanı mimarı Rajeev Nair , Inc42 ile yaptığı bir konuşmada, “Sistemi bu tür iddia edilen boşluklar için hâlâ araştırıyoruz. Son iki-üç gündür deniyoruz ve bize göre herhangi bir boşluk yok. Sistemlerimizin ve API'lerimizin çoğu kusursuzdur ve çevresinde yaptığımız güvenlik ve kodlama zenginleştirmeleri vardır."

Justdial, web sitesinde 25'ten fazla sektörle telefon tabanlı bir yerel dizin olarak başladı. Şirket şu anda fatura ve şarj, bakkal ve yiyecek teslimatı gibi hizmetler sunuyor ve restoranlar, taksiler, sinema biletleri, uçak biletleri, etkinlikler ve daha fazlası için rezervasyonları yönetiyor.

Justdial'in Hindistan genelinde 11 şehirde şubeleri vardır ve 250'den fazla Hint şehrinde 11K'dan fazla pin kodunu kapsayan bir yer varlığı vardır. Mumbai merkezli şirket, Mayıs 2013'te halka arz edilmişti.

Açık Alanda Hassas Bilgiler

Açıkta kalan veriler, siber suçlular ve bilgisayar korsanları tarafından kullanılıyorsa, Justdial kullanıcılarına daha fazla saldırı yapılmasına neden olabilir. Rajaharia, “Kullanıcıların telefon numarasına ve kişisel bilgilerine ek olarak, şirket ayrıca kullanıcının satın alma ve arama geçmişini de takip ediyor. Bu hassas verilerdir ve kullanıcının izni olmadan hedefe yönelik reklamlar yapmak için kullanılabilir.”

Bunun için Nair, “Biz bir veri organizasyonuyuz ve bu açıdan bizimle birlikte olan verilerin hassasiyetini anlıyoruz. Tam da bu nedenle, bizim tarafımızdan çok fazla güvenlik ve şifreleme yapıyoruz.”

Rajaharia, maruz kalan veriler hakkında ilk olarak bir Facebook gönderisinde yazdı. “ Sevgili Justdial Ad, e-posta, cep telefonu numarası, cinsiyet, doğum tarihi, adres, fotoğraf, şirket, meslek ve diğer ayrıntılar dahil olmak üzere 100 Milyon kullanıcı verileriniz herkese açık olarak erişilebilir ” dedi.

Rajahari ayrıca Justdial'in araştırma sürecinde elde ettiği kullanıcı verilerinin aşağıdaki ekran görüntülerini paylaştı:

Bu veri ihlaliyle ilgili daha da kötü olan şey, verilere erişmek için kimsenin Justdial'in sunucularını hacklemek zorunda kalmamasıdır. Rajaharia, "Veriler herkese açık bir URL üzerinden mevcut olduğundan ve şifre olmadan erişilebilir olduğundan, Hindistan yasalarında bilgisayar korsanını böyle bir veri ihlalinden sorumlu tutacak hükümler yok. Böyle bir veri sızıntısı olması durumunda sadece şirket yargılanacak.”

Justdial, bir seri girişimci VSS Mani tarafından kuruldu. Şirket, FY2019'un üçüncü çeyreğinde platformunda üç ayda bir 132.4 milyon benzersiz ziyaretçi bildirdi. Kullanıcılarının %78,5'i mobilden gelirken, Ocak 2019'da kümülatif mobil uygulama indirmeleri 22,8 milyon olarak gerçekleşti. Justdial'in üçüncü çeyrekte faaliyet geliri 2.268 milyon INR ve net karı 573 milyon INR oldu.

Sizin için tavsiye edilen:

Kaynaklar

RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?

Amit Das

31 Temmuz 2022

Haberler

Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...

Jaspreet K.

31 Temmuz 2022

Kaynaklar

Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?

Vaibhav S.

31 Temmuz 2022

Kaynaklar

Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?

Charanya L.

31 Temmuz 2022

Kaynaklar

Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?

Ankuş S.

31 Temmuz 2022

Haberler

Bu Hafta Yeni Çağ Teknoloji Hisseleri: Zomato'nun Sorunları Devam Ediyor, EaseMyTrip Gönderileri Stro...

Tapanjana R.

31 Temmuz 2022

Hindistan'da Artan Veri Sızıntıları

Hindistan bağlamında veri sızıntıları söz konusu olduğunda, aklımıza ilk gelen şey Aadhaar'dır. Şubat 2019 gibi yakın bir zamanda, Indane'nin web sitesinde adlar, adresler ve numaralar gibi ayrıntıları içeren 6,7 milyondan fazla kullanıcının Aadhaar ayrıntıları sızdırıldı . Bundan önce 2018'de, Fransız siber güvenlik uzmanı Baptiste Robert (Twitter'da Elliot Alderson takma adını kullanıyor) , binlerce Hint vatandaşının Aadhaar verilerini içeren web sitesi bağlantıları yüklemişti . Ve bu, eyalet hükümet organlarından Aadhaar ile ilgili çok sayıda sızıntı arasında sadece iki örnek.

Pune merkezli fintech şirketi EarlySalary ve seyahat platformu Ixigo dahil olmak üzere diğer Hintli girişimler de veri ihlali vakalarına tanık oldu.

Hindistan hükümeti bu cephede politika düzeyinde bazı adımlar atıyor. Temmuz sonunda , Adalet BN Srikrishna başkanlığındaki üst düzey bir panel, tavsiyelerini ve Kişisel Verilerin Korunması Yasası 2018 taslağını BT bakanı Ravi Shankar Prasad'a sundu. O zamandan beri, Hindistan hükümeti iş dünyası üyelerinden ve Hindistan İnternet ve Mobil Birliği, NASSCOM gibi derneklerden ve Amazon ve Walmart gibi e-ticaret şirketlerinden yasa taslağının hükümleri konusunda bir tepkiyle karşı karşıya kaldı.

Avrupa Birliği (AB) de tasarıyla ilgili çekincelerini dile getirmişti . Uluslararası Veri Akışları ve Koruması başkanı Bruno Gencarelli, "Uygulanırsa, bu tür bir hüküm muhtemelen veri aktarımlarını da engelleyecektir... Hindistan'ın çabalayan teknoloji endüstrisi bu tür zorunlu yerelleştirme önlemlerine ihtiyaç duymaz" dedi . Avrupa Komisyonu'ndaki (EC) Birim .

Facebook-Cambridge Analytica skandalından sonra , dünyanın dört bir yanındaki Hükümetler veri akışıyla ilgili yasalar hazırlıyor ve uyguluyor. Japonya, Kore ve Yeni Zelanda gibi ülkeler, veri yerelleştirme ilkesine dayalı veri koruma yasalarını zaten kabul etti. Bu arada Latin Amerika'da Brezilya Ağustos 2018'de kendi yasasını kabul ederken, Şili bağımsız bir veri koruma otoritesinin kurulduğunu duyurdu.

Güncelleme 1: 17 Nisan 2019 | 17:32

Justdial Veri Sızıntısını Araştırıyor

Justdial Inc42'ye gönderilen yazıya ilişkin yorumlarla ilgili açıklama eklendi.

Justdial'in kıdemli veritabanı mimarı Rajeev Nair, “Sistemi bu tür iddia edilen boşluklar için hala araştırıyoruz. Son iki-üç gündür deniyoruz ve bize göre herhangi bir boşluk yok. Sistemlerimizin ve API'lerimizin çoğu kusursuzdur ve çevresinde yaptığımız güvenlik ve kodlama zenginleştirmeleri vardır. Güvenlik araştırmacısının işaret ettiği cepheyi daha fazla araştıracağız ve böyle bir boşluk varsa, mümkün olan en kısa sürede onu tutuklayacağız.”

Güncelleme 2: 18 Nisan 2019 | 11:05

Justdial, Sorunu Çözdüğünü İddia Ediyor

Justdial şimdi bize konuyla ilgili daha fazla açıklama gönderdi. Bir Justdial sözcüsü Inc42'ye şunları söyledi: “Raporlarda veya başka bir şekilde iddia edildiği gibi 100 milyon kullanıcının veri ihlali vs. olmadı. Herhangi bir finansal bilginin yanı sıra herhangi bir kullanıcı şifresi de dahil olmak üzere tüm hassas kullanıcı bilgileri, sektör uygulamalarına göre korunmaktadır (ayrıca, JD platformlarının çoğu OTP tabanlı kimlik doğrulama üzerinde çalışır). Sözcü ayrıca, platformlarındaki finansal bilgilerin çift şifreli biçimde saklandığını ve PCI DSS uyumlu denetim firması tarafından düzenli olarak denetlendiğini söyledi.

"Ancak, şu anda kullanıcılarımızın yalnızca çok küçük bir kısmına hitap eden uygulamalarımızın eski sürümleri, belirli bir cep telefonu numarasının girildiği belirli API'leri kullanıyordu, belirli temel kullanıcı ayrıntılarına erişilebilirdi (finansal bilgilere erişilemedi). Eski uygulama platformlarında bulunan bu güvenlik açığı da artık düzeltildi. Sözcü, Justdial'ın etkilenen eski API'ler için yeterli şifreleme uyguladığını söylemeden önce, kullanıcıların çoğunluğunun mevcut olduğu uygulamanın daha yeni (mevcut) sürümleri yukarıdaki güvenlik açığına sahip değil" diye ekledi. "Düzenli denetimler yapılırken, mevcut güvenlik açıklarını belirlemek için bağımsız bir teknoloji denetimi de başlattık."

Şirket, herhangi bir veri ihlali olmadığını ve bağımsız bir güvenlik araştırmacısı tarafından doğrulandığını yineledi (isim açıklanmadı). Justdial'in üç ayda bir ~134 milyon benzersiz kullanıcısı var (Aralık 2018'de sona eren çeyrek için) ve kullanıcı bilgilerinin ve diğer verilerin yeterince korunmasını sağlamak için sağlam sistemlerimiz var."

Güncelleme 3: 18 Nisan 2019 | 12:50

Güvenlik Araştırmacısı Justdial'ın İddialarını Soruyor

Justdial'in yukarıdaki son açıklamasına yanıt olarak, sorunu en başta keşfeden güvenlik araştırmacısı Rajshekhar Rajaharia , sorunun hala çözülmediğini söyledi. “Herkesin (Justdial ve kullanıcılar) izni olmadan bir kerede binlerce veya lakh SMS'i spam gönderebileceği veya bombalayabileceği çok sayıda API hala mevcut. Bu API'ler ayrıca herhangi bir belirteç veya başka bir auth captcha kullanmaz. Birisi gece yarısı API'nizi kullanarak OTP ile tek bir tıklamayla kullanıcılarınıza yüzbinlerce SMS bombardımanı yaparsa ne olacağını bir düşünün. Orada auth veya token kullanmalısın."

Bu iddialarla ilgili yanıtlarını almak için Justdial ile iletişime geçtik ve bir açıklama alır almaz hikayemizi güncelleyeceğiz.