隨著審閱者數據的公開,Justdial 爭先恐後地堵住多個洩漏

已發表: 2019-04-30

本月早些時候,Justdial 數據庫漏洞暴露了其超過 1 億用戶的詳細信息

然而,該公司的審稿人數據庫中出現了第二個漏洞

該公司總體擁有 1.34 億獨立季度用戶

本月早些時候,獨立安全研究員 Rajshekhar Rajaharia 在印度超本地搜索引擎 Justdial 的數據庫中發現了一個重大安全漏洞。 該漏洞暴露了 Justdial 超過 1 億用戶的數據庫。 在 Rajaharia 公開發布一周後,該公司修復了這個漏洞。

然而,研究人員再次在公司的 API 中發現了一個漏洞(4 月 29 日),該漏洞暴露了該公司的審稿人數據庫。 Rajaharia 告訴Inc42 ,第二個漏洞是在研究人員報告的同一天修復的。

“連接到 Justdial 審稿人數據庫的 API 自公司成立以來一直不受保護。 這個漏洞意味著評論者的姓名、手機號碼和位置在互聯網上是公開的,”Rajaharia 告訴Inc42。

Rajaharia 在視頻帖子中就最近的數據洩露提出了自己的理由——

為了證實這一點,我們要求他提取我們團隊的一些餐廳評論數據。 以下是研究人員提取的數據截圖——

在回應Inc42查詢時,Justdial 表示其團隊已聯繫 Rajaharia 並已解決導致數據洩露的問題。

Justdial 發言人在早些時候的數據洩露時告訴Inc42 ,“所有敏感的用戶信息,包括任何財務信息以及任何用戶密碼都受到行業慣例的保護(此外,大多數京東平台都使用基於 OTP 的身份驗證)。 ” 該發言人還表示,其平台上的財務信息以雙重加密格式存儲,並由符合 PCI DSS 的審計公司定期審計。

Justdial 數據洩露事件

4 月 12 日, Rajaharia 第一次在 Facebook 帖子中寫到公開可用的 Justdial 用戶數據。 帖子內容為:“親愛的 Justdial,您的 1 億用戶數據,包括姓名、電子郵件、手機號碼、性別、出生日期、地址、照片、公司、職業和其他詳細信息都可以公開訪問。”

在 Rajaharia 的公開帖子和他多次嘗試連接 Justdial 失敗四天后, Inc42於 4 月 16 日報告了 Justdial 1 億用戶數據庫的數據洩露。

為你推薦:

RBI 的賬戶聚合器框架將如何改變印度的金融科技
資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:CitiusTech 首席執行官
消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...

4 月 17 日, Justdial 的高級數據庫架構師 Rajeev Nair 終於回應了這些說法,並告訴Inc42 ,“我們仍在調查該系統是否存在任何此類所謂的漏洞。 過去兩三天我們一直在努力,就我們而言,沒有漏洞。 我們的大多數係統和 API 都是萬無一失的,並且我們圍繞它進行了安全和編碼豐富。 我們會在安全研究員指出的前線進一步探索,如果有這樣的漏洞,我們會盡快將其逮捕。”

在此聲明之後,4 月 18 日上午,Justdial 向 Inc42 發送進一步的澄清,指出沒有報告或其他方面聲稱的 1 億用戶等數據洩露。

然而,同一天晚些時候,Rajaharia 聲稱儘管該公司聲稱該問題並未得到解決。 他當時曾說過,“仍然有很多 API 可供使用,任何人都可以在未經他們(Justdial 或其用戶)許可的情況下一次使用這些 API 發送垃圾郵件或轟炸數千或十萬條短信。 這些 API 也不使用任何令牌或任何其他身份驗證驗證碼。”

Rajaharia 後來向Inc42證實,Justdial用戶數據庫中的漏洞已在 4 月 18 日前夕得到修復,但有關評論者數據的最新洩漏表明問題可能會更深層次。

擁有 1.34 億獨立季度用戶的數據巨頭

Justdial 由連續創業者 VSS Mani 創立。 這家總部位於孟買的公司於 2013 年 5 月上市。在 2019 財年第三季度,該公司聲稱其平台上的季度獨立訪客人數約為 1.34 億。

其 78.5% 的用戶來自移動設備,其 2019 年 1 月的累計應用下載量為 2280 萬。 Justdial 在 2019 財年第三季度的營業收入為 22.68 億盧比,淨利潤為 5.73 億盧比。

Justdial 在其網站上擁有超過 25 個垂直領域,最初是一個基於電話的本地目錄。 該公司目前提供賬單和充值、雜貨和食品配送等服務,並處理餐廳、出租車、電影票、機票、活動等的預訂。

Justdial 聲稱在印度的 11 個城市設有分支機構,在 250 多個印度城市設有辦事處,覆蓋超過 11,000 個密碼。

印度初創公司的數據洩露

就在兩個月前(2019 年 2 月),據報導旅行預訂平台 Ixigo 洩露了 1800 萬條用戶記錄。 這次洩漏暴露了用戶名、電子郵件地址和加密密碼。 據報導,Ixigo 使用了一種陳舊過時的 MD5 哈希算法來加密密碼,黑客很容易就能破解這些密碼。

2018 年 10 月,位於浦那的金融科技初創公司 EarlySalary 也報告了安全漏洞。 據稱,此次違規行為損害了潛在客戶在其網站上上傳的姓名和手機號碼。 但是,當時無法確定洩露記錄的數量。

就在 EarlySalary 新聞發布前一個月,食品科技初創公司FreshMenu 也承認自 2016 年以來發生數據洩露事件。據報導,該洩露事件影響了 11 萬印度用戶。

在此之前的 2017 年,餐廳發現公司Zomato 也報告了 1700 萬用戶的數據洩露,暴露了用戶的電子郵件地址和哈希密碼。

隨著該國數據洩露事件的增加,印度政府一直在政策層面採取一些措施。 7 月,由大法官 BN Srikrishna 領導的高級別小組向 IT 部長 Ravi Shankar Prasad 提交了建議和 2018 年個人數據保護法案草案。 從那以後,印度政府就法案草案的規定遭到了商界和協會成員的強烈反對,例如印度互聯網和移動協會、 NASSCOM以及電子商務巨頭亞馬遜和沃爾瑪。