• 主頁
  • 文章
  • 科技類
  • Justdial 稱影響 1 億用戶的數據洩漏已修復,但安全研究人員對索賠提出異議

Justdial 稱影響 1 億用戶的數據洩漏已修復,但安全研究人員對索賠提出異議

已發表: 2019-04-16

Justdial 的用戶數據自 2015 年以來一直以不安全的方式存儲

獨立安全研究員 Rajshekhar Rajaharia 發現了漏洞

Justdial 表示問題現已解決,但 Rajaharia 在最新回應中對這一說法提出異議

一位獨立的安全研究人員在孟買的超本地搜索引擎 Justdial 的數據庫中發現了一個重大安全漏洞,該漏洞暴露了超過 1 億用戶的用戶數據。

“Justdial 的應用程序與其數據庫之間的連接沒有受到保護,這使得數百萬用戶數據容易受到數據洩露的影響,”Rajshekhar Rajaharia 告訴Inc42 他補充說,這些數據自 2015 年起就可以公開訪問。

在與Inc42 的對話中, Justdial 的高級數據庫架構師 Rajeev Nair 說:“我們仍在調查該系統是否存在任何此類所謂的漏洞。 過去兩三天我們一直在努力,就我們而言,沒有漏洞。 我們的大多數係統和 API 都是萬無一失的,我們圍繞它進行了安全和編碼豐富。”

Justdial 在其網站上擁有超過 25 個垂直領域,最初是一個基於電話的本地目錄。 該公司目前提供賬單和充值、雜貨和食品配送等服務,並處理餐廳、出租車、電影票、機票、活動等的預訂。

Justdial 在印度的 11 個城市設有分支機構,並在 250 多個印度城市開展業務,覆蓋超過 11,000 個密碼。 這家總部位於孟買的公司於 2013 年5 月上市。

敏感信息公開

如果數據被網絡犯罪分子和黑客使用,暴露的數據可能會導致對 Justdial 用戶的進一步攻擊。 Rajaharia 補充說:“除了用戶的電話號碼和個人信息,公司還跟踪用戶的購買和搜索歷史。 這是敏感數據,可用於在未經用戶同意的情況下進行有針對性的廣告。”

對此,奈爾說:“我們是一個數據組織,從這個角度來看,我們了解我們所擁有的數據的敏感性。 正是出於這個原因,我們從一開始就做了大量的安全和加密工作。”

Rajaharia 首先在 Facebook 帖子中寫到了暴露的數據。 親愛的 Justdial,您的 1 億用戶數據,包括姓名、電子郵件、手機號碼、性別、出生日期、地址、照片、公司、職業和其他詳細信息都是公開的, ”他說。

JustDial 數據洩露暴露了 1 億用戶的數據

Rajahari 還分享了 Justdial 用戶數據的以下截圖,這些截圖是在他的研究過程中提取的:

JustDial 數據洩露暴露了 1 億用戶的數據JustDial 數據洩露暴露了 1 億用戶的數據 這次數據洩露更糟糕的是,沒有人必須侵入 Justdial 的服務器來訪問數據。 Rajaharia 說:“由於數據可以通過公共 URL 獲得,並且無需密碼即可訪問,因此印度法律沒有規定讓黑客對此類數據洩露負責。 如果發生此類數據洩露,只會起訴該公司。”

Justdial 由連續創業者 VSS Mani 創立。 該公司在 2019 財年第三季度在其平台上報告了 1.324 億獨立季度訪問者。 由於其 78.5% 的用戶來自移動設備,其 2019 年 1 月的累計移動應用下載量為 2280 萬次。 Justdial 在 2019 財年第三季度的營業收入為 22.68 億盧比,淨利潤為 5.73 億盧比。

為你推薦:

RBI 的賬戶聚合器框架將如何改變印度的金融科技
資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:CitiusTech 首席執行官
消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...

印度數據洩露事件增多

談到印度背景下的數據洩露,我們首先想到的是 Aadhaar。 就在 2019 年 2 月, Indane 的網站上洩露了超過 670 萬用戶的 Aadhaar 詳細信息,其中包含姓名、地址和號碼等詳細信息 在此之前的 2018 年,法國網絡安全專家 Baptiste Robert(在 Twitter 上化名為 Elliot Alderson)上傳包含數千名印度公民Aadhaar 數據的網站鏈接這只是州政府機構與 Aadhaar 相關的多個洩密事件中的兩個例子。

其他印度初創公司,包括總部位於浦那的金融科技公司 EarlySalary旅遊平台 Ixigo ,也見證了數據洩露案件。

印度政府正在政策層面在這方面採取一些措施。 7 月底,以大法官 BN Srikrishna 為首的高級別小組向 IT 部長 Ravi Shankar Prasad 提交了建議和 2018 年個人數據保護法案草案。 從那以後,印度政府就法案草案的規定遭到了商界和協會成員的強烈反對,例如印度互聯網和移動協會、 NASSCOM以及亞馬遜和沃爾瑪等電子商務公司

歐盟(EU)也對該法案草案表示保留 “如果實施,這種規定也可能會阻礙數據傳輸……與有時建議的相反,印度正在努力的科技行業不需要這種強製本地化措施,”國際數據流和保護負責人布魯諾·根卡雷利 (Bruno Gencarelli)寫道歐洲委員會 (EC) 的單位

Facebook-Cambridge Analytica醜聞之後,世界各國政府都在起草和實施有關數據流的法律。 日本、韓國和新西蘭等國家已經通過了基於數據本地化原則的數據保護法。 與此同時,在拉丁美洲,巴西於 2018 年 8 月通過了自己的法律,而智利則宣布成立獨立的數據保護機構。

更新 1: 2019 年 4 月 17 日 | 下午 5 點 32 分

Justdial 調查數據洩露

Justdial 向Inc42發送了有關評論已添加到文章中的聲明。

Justdial 的高級數據庫架構師 Rajeev Nair 說:“我們仍在調查該系統是否存在任何此類所謂的漏洞。 過去兩三天我們一直在努力,就我們而言,沒有漏洞。 我們的大多數係統和 API 都是萬無一失的,並且我們圍繞它進行了安全和編碼豐富。 我們會在安全研究員指出的前線進一步探索,如果有這樣的漏洞,我們會盡快將其逮捕。”

更新 2: 2019 年 4 月 18 日 | 上午 11:05

Justdial聲稱它解決了這個問題

Justdial 現在向我們發送了關於此事的進一步澄清。 Justdial 的一位發言人告訴Inc42 ,“沒有像報告或其他方面聲稱的那樣,有 1 億用戶等數據洩露。 所有敏感的用戶信息,包括任何財務信息以及任何用戶密碼都按照行業慣例受到保護(此外,大多數京東平台都使用基於 OTP 的身份驗證)。” 該發言人還表示,其平台上的財務信息以雙重加密格式存儲,並由符合 PCI DSS 的審計公司定期審計。

“然而,我們的應用程序的舊版本,目前只迎合我們的一小部分用戶,正在使用某些 API,通過這些 API 輸入特定的手機號碼,可以訪問某些基本的用戶詳細信息(無法訪問財務信息)。 舊應用平台上存在的這個漏洞現在也得到了修復。 大多數用戶可用的應用程序的較新(當前)版本沒有上述漏洞,“發言人補充說,然後說 Justdial 已為受影響的舊 API 實施了足夠的加密。 “雖然進行了定期審計,但我們還發起了獨立的技術審計,以識別任何現有的漏洞。”

該公司重申,沒有發生數據洩露事件,並且已由獨立安全研究人員(姓名未公開)進行了驗證。 “Justdial 擁有約 1.34 億季度獨立用戶(截至 2018 年 12 月的季度),我們擁有強大的系統來確保用戶信息和其他數據得到充分保護。”

更新 3: 2019 年 4 月 18 日 | 下午 12:50

安全研究員質疑 Justdial 的說法

針對 Justdial 的上述最新澄清,最先發現該問題的安全研究員Rajshekhar Rajaharia表示,該問題仍未解決。 “仍然有許多 API 可供使用,任何人都可以在未經他們(Justdial 和用戶)許可的情況下一次發送垃圾郵件或轟炸數千或十萬條短信。 這些 API 也不使用任何令牌或任何其他身份驗證驗證碼。 想想如果有人在午夜使用您的 API 使用 OTP 向您的用戶轟炸數十萬條短信,會發生什麼情況。 你應該在那裡使用身份驗證或令牌。”

justdial 數據洩露

我們已聯繫 Justdial 以獲得他們對這些聲明的回應,並會在收到聲明後立即更新我們的故事。