اطلاعات 100 میلیون مشتری JustDial برای بیش از یک سال ناامن مانده است

اطلاعات شناسایی شخصی (PII) تقریباً 100 میلیون کاربر سایت فهرست کسب و کار محلی JustDial پس از افشای یک رابط برنامه نویسی برنامه (API) برای بیش از یک سال در معرض خطر قرار گرفت. 

JustDial یک شرکت فناوری اینترنت هندی است که جستجوی محلی را برای انواع خدمات در هند از طریق تلفن، اینترنت و برنامه های تلفن همراه ارائه می دهد. 

However, a fix appears to have protected the PII data, which includes users’ names, gender, profile photos, email addresses, phone numbers, and birthdates. 

Rajshekhar Rajaharia، یک محقق مستقل امنیت اینترنت که اولین بار در این مورد در روز سه‌شنبه توییت کرد، به BusinessLine اطلاع داد که پس از کشف نقض داده‌ها، با سازمان تماس گرفت و به‌سرعت اصلاح و رفع شد. 

«داده‌های این شرکت از مارس 2020 فاش شده است، اگرچه هنوز نمی‌توانیم بگوییم که آنها فاش شده‌اند یا خیر. ما فقط زمانی متوجه خواهیم شد که JustDial یک گزارش حسابرسی در مورد آن منتشر کند. 

علاوه بر این، او اضافه کرد که JustDial نیاز به ممیزی دارد زیرا ممکن است سیستم دارای نقص های دیگری باشد. JustDial به ایمیل درخواست بیانیه پاسخ نداد. 

JustDial تنها ده روز پیش زمانی که Reliance Retail 41 درصد از سهام آن را به قیمت 3,497 کرور دلار خریداری کرد، به یک شرکت گروه Mukesh Ambani تبدیل شد. پرداخت قبوض و شارژ، خواربار و تحویل مواد غذایی و رزرو رستوران، تاکسی، بلیط سینما، بلیط هواپیما و رویدادها از جمله خدمات ارائه شده توسط این سازمان است. 

This isn’t the first time the information of JustDial has been leaked. In April 2019, Rajaharia discovered that a similar API was leaking user information in real-time whenever someone called or messaged JustDial via its app or website. The organization stated to have solved the issue, but it appears to have reemerged a year later. 

Rajaharia stated, JustDial never reveals the total number of people who have signed up. They disclose the count of active users and merchants, but never the total number, because every time someone dials the platform’s “88888 88888” number, the caller data is saved in JustDial’s database right away. This information is also in danger of being leaked. This data can also be tracked in real-time by the API in question. If an attacker gains access to it, they would be able to quickly extract and upload the data of every JustDial user to the Dark Web.

بسیاری از شرکت‌های آنلاین معروف و مشتریان آن‌ها از زمان شیوع این بیماری در سال گذشته قربانی نشت داده‌ها و بی‌احتیاطی شده‌اند. MobiKwik، JusPay، Upstox، Bizongo، BigBasket، Dominos India و حتی Air India از جمله آنها هستند. 

طبق گزارش BusinessLine، کاپیل گوپتا، یکی از بنیانگذاران Volon Cyber ​​Security اظهار داشت: «مشتریان باید در مورد هر گونه نشت داده در شرکت‌ها مطلع شوند تا بتوانند حساب‌ها را بازنشانی کرده و رمز عبور را برای محافظت از داده‌های خود تغییر دهند. اگرچه کاربران می توانند بر اساس قوانین حق حفظ حریم خصوصی یا فناوری اطلاعات، شکایت کنند، شکایت کنند و حتی درخواست خسارت کنند، این سیاست ها هنوز قابل تفسیر هستند. بیان واضح نیست.» 

«لایحه پیشنهادی حفاظت از داده ها شفافیت بیشتری در مورد مسئولیت پذیری شرکت هایی که با نقض داده ها مواجه هستند، می دهد. آنها باید داوطلبانه افشا کنند و در صورت نقض داده ها جریمه بپردازند وگرنه طبق قانون مجازات خواهند شد. اما ما همچنان منتظر DPB هستیم.»