随着审阅者数据的公开,Justdial 争先恐后地堵住多个泄漏

已发表: 2019-04-30

本月早些时候,Justdial 数据库漏洞暴露了其超过 1 亿用户的详细信息

然而,该公司的审稿人数据库中出现了第二个漏洞

该公司总体拥有 1.34 亿独立季度用户

本月早些时候,独立安全研究员 Rajshekhar Rajaharia 在印度超本地搜索引擎 Justdial 的数据库中发现了一个重大安全漏洞。 该漏洞暴露了 Justdial 超过 1 亿用户的数据库。 在 Rajaharia 公开发布一周后,该公司修复了这个漏洞。

然而,研究人员再次在公司的 API 中发现了一个漏洞(4 月 29 日),该漏洞暴露了该公司的审稿人数据库。 Rajaharia 告诉Inc42 ,第二个漏洞是在研究人员报告的同一天修复的。

“连接到 Justdial 审稿人数据库的 API 自公司成立以来一直不受保护。 这个漏洞意味着评论者的姓名、手机号码和位置在互联网上是公开的,”Rajaharia 告诉Inc42。

Rajaharia 在视频帖子中就最近的数据泄露提出了自己的理由——

为了证实这一点,我们要求他提取我们团队的一些餐厅评论数据。 以下是研究人员提取的数据截图——

在回应Inc42查询时,Justdial 表示其团队已联系 Rajaharia 并已解决导致数据泄露的问题。

Justdial 发言人在早些时候的数据泄露时告诉Inc42 ,“所有敏感的用户信息,包括任何财务信息以及任何用户密码都受到行业惯例的保护(此外,大多数京东平台都使用基于 OTP 的身份验证)。 ” 该发言人还表示,其平台上的财务信息以双重加密格式存储,并由符合 PCI DSS 的审计公司定期审计。

Justdial 数据泄露事件

4 月 12 日, Rajaharia 第一次在 Facebook 帖子中写到公开可用的 Justdial 用户数据。 帖子内容为:“亲爱的 Justdial,您的 1 亿用户数据,包括姓名、电子邮件、手机号码、性别、出生日期、地址、照片、公司、职业和其他详细信息都可以公开访问。”

在 Rajaharia 的公开帖子和他多次尝试连接 Justdial 失败四天后, Inc42于 4 月 16 日报告了 Justdial 1 亿用户数据库的数据泄露。

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

4 月 17 日, Justdial 的高级数据库架构师 Rajeev Nair 终于回应了这些说法,并告诉Inc42 ,“我们仍在调查该系统是否存在任何此类所谓的漏洞。 过去两三天我们一直在努力,就我们而言,没有漏洞。 我们的大多数系统和 API 都是万无一失的,并且我们围绕它进行了安全和编码丰富。 我们会在安全研究员指出的前线进一步探索,如果有这样的漏洞,我们会尽快将其逮捕。”

在此声明之后,4 月 18 日上午,Justdial 向 Inc42 发送进一步的澄清,指出没有报告或其他方面声称的 1 亿用户等数据泄露。

然而,同一天晚些时候,Rajaharia 声称尽管该公司声称该问题并未得到解决。 他当时曾说过,“仍然有很多 API 可供使用,任何人都可以在未经他们(Justdial 或其用户)许可的情况下一次使用这些 API 发送垃圾邮件或轰炸数千或十万条短信。 这些 API 也不使用任何令牌或任何其他身份验证验证码。”

Rajaharia 后来向Inc42证实,Justdial用户数据库中的漏洞已在 4 月 18 日前夕得到修复,但有关评论者数据的最新泄漏表明问题可能会更深层次。

拥有 1.34 亿独立季度用户的数据巨头

Justdial 由连续创业者 VSS Mani 创立。 这家总部位于孟买的公司于 2013 年 5 月上市。在 2019 财年第三季度,该公司声称其平台上的季度独立访客人数约为 1.34 亿。

其 78.5% 的用户来自移动设备,其 2019 年 1 月的累计应用下载量为 2280 万。 Justdial 在 2019 财年第三季度的营业收入为 22.68 亿卢比,净利润为 5.73 亿卢比。

Justdial 在其网站上拥有超过 25 个垂直领域,最初是一个基于电话的本地目录。 该公司目前提供账单和充值、杂货和食品配送等服务,并处理餐厅、出租车、电影票、机票、活动等的预订。

Justdial 声称在印度的 11 个城市设有分支机构,在 250 多个印度城市设有办事处,覆盖超过 11,000 个密码。

印度初创公司的数据泄露

就在两个月前(2019 年 2 月),据报道旅行预订平台 Ixigo 泄露了 1800 万条用户记录。 这次泄漏暴露了用户名、电子邮件地址和加密密码。 据报道,Ixigo 使用了一种陈旧过时的 MD5 哈希算法来加密密码,黑客很容易就能破解这些密码。

2018 年 10 月,位于浦那的金融科技初创公司 EarlySalary 也报告了安全漏洞。 据称,此次违规行为损害了潜在客户在其网站上上传的姓名和手机号码。 但是,当时无法确定泄露记录的数量。

就在 EarlySalary 新闻发布前一个月,食品科技初创公司FreshMenu 也承认自 2016 年以来发生数据泄露事件。据报道,该泄露事件影响了 11 万印度用户。

在此之前的 2017 年,餐厅发现公司Zomato 也报告了 1700 万用户的数据泄露,暴露了用户的电子邮件地址和哈希密码。

随着该国数据泄露事件的增加,印度政府一直在政策层面采取一些措施。 7 月,由大法官 BN Srikrishna 领导的高级别小组向 IT 部长 Ravi Shankar Prasad 提交了建议和 2018 年个人数据保护法案草案。 从那以后,印度政府就法案草案的规定遭到了商界和协会成员的强烈反对,例如印度互联网和移动协会、 NASSCOM以及电子商务巨头亚马逊和沃尔玛。