• 主页
  • 文章
  • 科技类
  • Justdial 称影响 1 亿用户的数据泄漏已修复,但安全研究人员对索赔提出异议

Justdial 称影响 1 亿用户的数据泄漏已修复,但安全研究人员对索赔提出异议

已发表: 2019-04-16

Justdial 的用户数据自 2015 年以来一直以不安全的方式存储

独立安全研究员 Rajshekhar Rajaharia 发现了漏洞

Justdial 表示问题现已解决,但 Rajaharia 在最新回应中对这一说法提出异议

一位独立的安全研究人员在孟买的超本地搜索引擎 Justdial 的数据库中发现了一个重大安全漏洞,该漏洞暴露了超过 1 亿用户的用户数据。

“Justdial 的应用程序与其数据库之间的连接没有受到保护,这使得数百万用户数据容易受到数据泄露的影响,”Rajshekhar Rajaharia 告诉Inc42 他补充说,这些数据自 2015 年起就可以公开访问。

在与Inc42 的对话中, Justdial 的高级数据库架构师 Rajeev Nair 说:“我们仍在调查该系统是否存在任何此类所谓的漏洞。 过去两三天我们一直在努力,就我们而言,没有漏洞。 我们的大多数系统和 API 都是万无一失的,我们围绕它进行了安全和编码丰富。”

Justdial 在其网站上拥有超过 25 个垂直领域,最初是一个基于电话的本地目录。 该公司目前提供账单和充值、杂货和食品配送等服务,并处理餐厅、出租车、电影票、机票、活动等的预订。

Justdial 在印度的 11 个城市设有分支机构,并在 250 多个印度城市开展业务,覆盖超过 11,000 个密码。 这家总部位于孟买的公司于 2013 年5 月上市。

敏感信息公开

如果数据被网络犯罪分子和黑客使用,暴露的数据可能会导致对 Justdial 用户的进一步攻击。 Rajaharia 补充说:“除了用户的电话号码和个人信息,公司还跟踪用户的购买和搜索历史。 这是敏感数据,可用于在未经用户同意的情况下进行有针对性的广告。”

对此,奈尔说:“我们是一个数据组织,从这个角度来看,我们了解我们所拥有的数据的敏感性。 正是出于这个原因,我们从一开始就做了大量的安全和加密工作。”

Rajaharia 首先在 Facebook 帖子中写到了暴露的数据。 亲爱的 Justdial,您的 1 亿用户数据,包括姓名、电子邮件、手机号码、性别、出生日期、地址、照片、公司、职业和其他详细信息都是公开的, ”他说。

JustDial 数据泄露暴露了 1 亿用户的数据

Rajahari 还分享了 Justdial 用户数据的以下截图,这些截图是在他的研究过程中提取的:

JustDial 数据泄露暴露了 1 亿用户的数据JustDial 数据泄露暴露了 1 亿用户的数据 这次数据泄露更糟糕的是,没有人必须侵入 Justdial 的服务器来访问数据。 Rajaharia 说:“由于数据可以通过公共 URL 获得,并且无需密码即可访问,因此印度法律没有规定让黑客对此类数据泄露负责。 如果发生此类数据泄露,只会起诉该公司。”

Justdial 由连续创业者 VSS Mani 创立。 该公司在 2019 财年第三季度在其平台上报告了 1.324 亿独立季度访问者。 由于其 78.5% 的用户来自移动设备,其 2019 年 1 月的累计移动应用下载量为 2280 万次。 Justdial 在 2019 财年第三季度的营业收入为 22.68 亿卢比,净利润为 5.73 亿卢比。

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

印度数据泄露事件增多

谈到印度背景下的数据泄露,我们首先想到的是 Aadhaar。 就在 2019 年 2 月, Indane 的网站上泄露了超过 670 万用户的 Aadhaar 详细信息,其中包含姓名、地址和号码等详细信息 在此之前的 2018 年,法国网络安全专家 Baptiste Robert(在 Twitter 上化名为 Elliot Alderson)上传包含数千名印度公民Aadhaar 数据的网站链接这只是州政府机构与 Aadhaar 相关的多个泄密事件中的两个例子。

其他印度初创公司,包括总部位于浦那的金融科技公司 EarlySalary旅游平台 Ixigo ,也见证了数据泄露案件。

印度政府正在政策层面在这方面采取一些措施。 7 月底,以大法官 BN Srikrishna 为首的高级别小组向 IT 部长 Ravi Shankar Prasad 提交了建议和 2018 年个人数据保护法案草案。 从那以后,印度政府就法案草案的规定遭到了商界和协会成员的强烈反对,例如印度互联网和移动协会、 NASSCOM以及亚马逊和沃尔玛等电子商务公司

欧盟(EU)也对该法案草案表示保留 “如果实施,这种规定也可能会阻碍数据传输……与有时建议的相反,印度正在努力的科技行业不需要这种强制本地化措施,”国际数据流和保护负责人布鲁诺·根卡雷利 (Bruno Gencarelli)写道欧洲委员会 (EC) 的单位

Facebook-Cambridge Analytica丑闻之后,世界各国政府都在起草和实施有关数据流的法律。 日本、韩国和新西兰等国家已经通过了基于数据本地化原则的数据保护法。 与此同时,在拉丁美洲,巴西于 2018 年 8 月通过了自己的法律,而智利则宣布成立独立的数据保护机构。

更新 1: 2019 年 4 月 17 日 | 下午 5 点 32 分

Justdial 调查数据泄露

Justdial 向Inc42发送了有关评论已添加到文章中的声明。

Justdial 的高级数据库架构师 Rajeev Nair 说:“我们仍在调查该系统是否存在任何此类所谓的漏洞。 过去两三天我们一直在努力,就我们而言,没有漏洞。 我们的大多数系统和 API 都是万无一失的,并且我们围绕它进行了安全和编码丰富。 我们会在安全研究员指出的前线进一步探索,如果有这样的漏洞,我们会尽快将其逮捕。”

更新 2: 2019 年 4 月 18 日 | 上午 11:05

Justdial声称它解决了这个问题

Justdial 现在向我们发送了关于此事的进一步澄清。 Justdial 的一位发言人告诉Inc42 ,“没有像报告或其他方面声称的那样,有 1 亿用户等数据泄露。 根据行业惯例,包括任何财务信息以及任何用户密码在内的所有敏感用户信息都受到保护(此外,大多数京东平台都使用基于 OTP 的身份验证)。 该发言人还表示,其平台上的财务信息以双重加密格式存储,并由符合 PCI DSS 的审计公司定期审计。

“然而,我们的应用程序的旧版本,目前只迎合我们的一小部分用户,正在使用某些 API,通过这些 API 输入特定的手机号码,可以访问某些基本的用户详细信息(无法访问财务信息)。 旧应用平台上存在的这个漏洞现在也得到了修复。 大多数用户可用的应用程序的较新(当前)版本没有上述漏洞,“发言人补充说,然后说 Justdial 已为受影响的旧 API 实施了足够的加密。 “虽然进行了定期审计,但我们还发起了独立的技术审计,以识别任何现有的漏洞。”

该公司重申,没有发生数据泄露事件,并且已由独立安全研究人员(姓名未公开)进行了验证。 “Justdial 拥有约 1.34 亿季度独立用户(截至 2018 年 12 月的季度),我们拥有强大的系统来确保用户信息和其他数据得到充分保护。”

更新 3: 2019 年 4 月 18 日 | 下午 12:50

安全研究员质疑 Justdial 的说法

针对 Justdial 的上述最新澄清,最先发现该问题的安全研究员Rajshekhar Rajaharia表示,该问题仍未解决。 “仍然有许多 API 可供使用,任何人都可以在未经他们(Justdial 和用户)许可的情况下一次发送垃圾邮件或轰炸数千或十万条短信。 这些 API 也不使用任何令牌或任何其他身份验证验证码。 想想如果有人在午夜使用您的 API 使用 OTP 向您的用户轰炸数十万条短信,会发生什么情况。 你应该在那里使用身份验证或令牌。”

justdial 数据泄露

我们已联系 Justdial 以获得他们对这些声明的回应,并会在收到声明后立即更新我们的故事。