Justdial, İnceleyen Verileri Herkese Açık Olurken Birden Fazla Sızıntıyı Takmak İçin Karışıyor
Yayınlanan: 2019-04-30Bu ayın başlarında, bir Justdial veritabanı kaçağı, 100 milyondan fazla kullanıcısının ayrıntılarını ortaya çıkardı.
Ancak, şirketin gözden geçirenler veri tabanında ikinci bir boşluk ortaya çıktı.
Şirketin genel olarak üç ayda bir 134 milyon benzersiz kullanıcısı var
Bu ayın başlarında, bağımsız bir güvenlik araştırmacısı Rajshekhar Rajaharia, Hint hiper yerel arama motoru Justdial'in veritabanında büyük bir güvenlik boşluğu keşfetti. Bu boşluk, Justdial'in 100 milyondan fazla kullanıcıdan oluşan veritabanını açığa çıkarmıştı. Bu boşluk şirket tarafından Rajaharia'nın halka açık paylaşımından bir hafta sonra düzeltildi.
Bununla birlikte, araştırmacı, şirketin API'lerinde, gözden geçirenin şirketin veritabanını açığa çıkaran bir boşluk (29 Nisan'da) tekrar keşfetti. Rajaharia Inc42'ye verdiği demeçte, ikinci boşluk araştırmacının raporunun aynı gününde düzeltildi .
“Justdial'in gözden geçirenler veritabanına bağlı API, şirketin kuruluşundan bu yana korumasız durumda. Rajaharia, Inc42'ye verdiği demeçte, bu boşluk, gözden geçirenin adının, cep telefonu numarasının ve konumunun internette herkese açık olduğu anlamına gelir .
Rajaharia, bir video gönderisinde son veri sızıntısı hakkında dava açmıştı -
Bunu doğrulamak için, ekibimiz tarafından yapılan bazı restoran incelemelerinin verilerini çıkarmasını istedik. Araştırmacı tarafından çıkarılan verilerin ekran görüntüleri aşağıdadır –
Bir Inc42 sorgusuna yanıt olarak bir Justdial , ekibinin Rajaharia ile iletişime geçtiğini ve veri ihlaline neden olan sorunu çözdüğünü söyledi.
Bir Justdial sözcüsü , daha önceki veri sızıntısı sırasında Inc42'ye şunları söyledi: "Herhangi bir finansal bilgi ve herhangi bir kullanıcı şifresi dahil olmak üzere tüm hassas kullanıcı bilgileri, endüstri uygulamalarına göre korunur (ayrıca, JD platformlarının çoğu, OTP tabanlı kimlik doğrulama üzerinde çalışır). ” Sözcü ayrıca, platformlarındaki finansal bilgilerin çift şifreli biçimde saklandığını ve PCI DSS uyumlu denetim firması tarafından düzenli olarak denetlendiğini söyledi.
Justdial Veri Sızıntısı Destanı
12 Nisan'da Rajaharia ilk olarak bir Facebook gönderisinde herkese açık Justdial kullanıcı verileri hakkında yazdı. Gönderide, "Sevgili Justdial Ad, e-posta, cep telefonu numarası, cinsiyet, doğum tarihi, adres, fotoğraf, şirket, meslek ve diğer ayrıntılar dahil olmak üzere 100 Milyon kullanıcı verileriniz herkese açık olarak erişilebilir."
Rajaharia'nın halka açık gönderisinden ve Justdial ile bağlantı kurmak için yaptığı birçok başarısız girişimden dört gün sonra, Inc42, 16 Nisan'da Justdial 100Mn kullanıcılarının veri tabanının veri sızıntısını bildirdi.
Sizin için tavsiye edilen:
RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?
Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...
Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?
Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?
Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?
Bu Hafta Yeni Çağ Teknoloji Hisseleri: Zomato'nun Sorunları Devam Ediyor, EaseMyTrip Gönderileri Stro...
17 Nisan'da Justdial'in kıdemli veritabanı mimarı Rajeev Nair sonunda iddialara yanıt verdi ve Inc42'ye şunları söyledi : “Sistemi bu tür iddia edilen boşluklar için hâlâ araştırıyoruz. Son iki-üç gündür deniyoruz ve bize göre herhangi bir boşluk yok. Sistemlerimizin ve API'lerimizin çoğu kusursuzdur ve çevresinde yaptığımız güvenlik ve kodlama zenginleştirmeleri vardır. Güvenlik araştırmacısının işaret ettiği cepheyi daha fazla araştıracağız ve böyle bir boşluk varsa, mümkün olan en kısa sürede tutuklayacağız. ”
Bu açıklamanın ardından, 18 Nisan sabahı Justdial, Inc42'ye raporlarda veya başka bir şekilde iddia edildiği gibi 100Mn kullanıcı vb. herhangi bir veri ihlali olmadığını belirten bir açıklama daha gönderdi.
Ancak aynı günün ilerleyen saatlerinde Rajaharia, şirketin iddialarına rağmen sorunun çözülmediğini iddia etti. O zaman, “Herkesin (Justdial veya kullanıcıları) izni olmadan bir kerede binlerce veya lakh SMS'i spam yapmak veya bombalamak için kullanabileceği çok sayıda API hala mevcut. Bu API'ler ayrıca herhangi bir belirteç veya başka bir auth captcha kullanmaz."
Rajaharia daha sonra Inc42'ye Justdial'in kullanıcı veritabanındaki boşluğun 18 Nisan arifesinde giderildiğini doğruladı, ancak gözden geçirenlerin verilerine ilişkin en son sızıntı, sorunun daha derinlere inebileceğini gösteriyor.
Üç Aylık Benzersiz 134 Milyon Kullanıcısıyla Veri Devi
Justdial, bir seri girişimci VSS Mani tarafından kuruldu. Mumbai merkezli şirket, Mayıs 2013'te halka açılmıştı. FY2019'un üçüncü çeyreğinde, şirket platformunda yaklaşık 134 Milyon benzersiz ziyaretçiye sahip olduğunu iddia etti.
Kullanıcılarının %78,5'i mobilden gelirken, Ocak 2019'da kümülatif uygulama indirmeleri 22,8 milyon olarak gerçekleşti. Justdial'in üçüncü çeyrekte faaliyet geliri 2.268 milyon INR ve net karı 573 milyon INR oldu.
Web sitesinde 25'ten fazla sektörle Justdial, telefon tabanlı bir yerel dizin olarak başlatıldı. Şirket şu anda fatura ve şarj, bakkal ve yiyecek teslimatı gibi hizmetler sunuyor ve restoranlar, taksiler, sinema biletleri, uçak biletleri, etkinlikler ve daha fazlası için rezervasyonları yönetiyor.
Justdial, Hindistan genelinde 11 şehirde şubeleri olduğunu ve 11K'dan fazla pin kodunu kapsayan 250'den fazla Hint şehrinde yer aldığını iddia ediyor.
Hintli Girişimlerde Veri Sızıntıları
Sadece iki ay önce (Şubat 2019), seyahat rezervasyon platformu Ixigo'nun 18 milyon kullanıcı kaydını sızdırdığı bildirildi. Bu sızıntı, kullanıcıların adını, e-posta adreslerini ve şifreli şifrelerini açığa çıkardı. Ixigo'nun, bilgisayar korsanlarının kolayca çözebildiği parolaları karıştırmak için eski ve güncelliğini yitirmiş bir MD5 karma algoritması kullandığı bildirildi.
Ekim 2018'de Pune merkezli fintech girişimi EarlySalary de bir güvenlik ihlali bildirdi. İhlalin, potansiyel müşteriler tarafından web sitesine yüklenen adları ve cep telefonlarını tehlikeye attığı söyleniyor. Ancak o dönemde sızdırılan kayıtların sayısı tespit edilemedi.
EarlySalary haberlerinden sadece bir ay önce, foodtech girişimi FreshMenu da 2016 yılına ait bir veri ihlaline sahip olmuştu. İhlalin 110 bin Hintli kullanıcıyı etkilediği bildirildi.
Bundan önce 2017'de restoran keşif şirketi Zomato da 17 milyon kullanıcının veri ihlalini, kullanıcıların e-posta adreslerini ve şifrelerini açığa çıkardığını bildirdi.
Ülkedeki veri ihlallerinin artmasıyla birlikte Hindistan hükümeti politika düzeyinde bazı adımlar atıyor. Temmuz ayında , Adalet BN Srikrishna başkanlığındaki üst düzey bir kurul, tavsiyelerini ve Kişisel Verileri Koruma Yasası 2018 taslağını BT bakanı Ravi Shankar Prasad'a sundu. O zamandan beri, Hindistan hükümeti, iş dünyası üyelerinden ve Hindistan İnternet ve Mobil Birliği, NASSCOM ve e-ticaret devleri Amazon ve Walmart gibi derneklerden yasa taslağının hükümleri konusunda bir tepkiyle karşı karşıya kaldı.