Personlig identifiserbar informasjon (PII) til omtrent 100 millioner brukere av det lokale virksomhetsoppføringsnettstedet JustDial var på spill etter at et applikasjonsprogrammeringsgrensesnitt (API) ble eksponert i over et år.
JustDial er et indisk internettteknologifirma som tilbyr lokalt søk etter en rekke tjenester i India via telefon, Internett og mobilapper.
En løsning ser imidlertid ut til å ha beskyttet PII-dataene, som inkluderer brukernes navn, kjønn, profilbilder, e-postadresser, telefonnumre og fødselsdatoer.
Rajshekhar Rajaharia, en uavhengig internettsikkerhetsforsker som først twitret om dette på tirsdag, informerte BusinessLine om at etter å ha oppdaget datainnbruddet, tok han kontakt med organisasjonen, og det ble lappet og fikset umiddelbart.
"Selskapets data har vært avslørt siden mars 2020, selv om vi ikke kan si ennå om de har blitt lekket. Vi vil bare vite det når JustDial gir ut en revisjonsrapport om det," sa Rajaharia.
Videre la han til at JustDial trenger en revisjon fordi systemet kan ha andre feil. JustDial svarte ikke på en e-post som ba om en uttalelse.
JustDial ble et Mukesh Ambani-konsernfirma for bare ti dager siden da Reliance Retail kjøpte en 41% eierandel i det for 3,497 crore dollar. Regningsbetalinger og opplading, levering av dagligvarer og mat, og reservasjoner av restauranter, drosjer, kinobilletter, flybilletter og arrangementer er blant tjenestene som tilbys av organisasjonen.
Dette er ikke første gang informasjonen til JustDial har blitt lekket. I april 2019 oppdaget Rajaharia at en lignende API lekket brukerinformasjon i sanntid hver gang noen ringte eller sendte melding til JustDial via appen eller nettstedet. Organisasjonen uttalte å ha løst problemet, men det ser ut til å ha dukket opp igjen et år senere.
Rajaharia uttalte, JustDial avslører aldri det totale antallet personer som har registrert seg. De avslører antallet aktive brukere og selgere, men aldri det totale antallet, fordi hver gang noen ringer plattformens "88888 88888"-nummer, lagres oppringerdataene i JustDials database med en gang. Denne informasjonen står også i fare for å bli lekket. Disse dataene kan også spores i sanntid av den aktuelle API. Hvis en angriper får tilgang til det, vil de raskt kunne trekke ut og laste opp dataene til hver JustDial-bruker til Dark Web.
Mange kjente nettfirmaer og deres kunder har vært ofre for datalekkasjer og uforsiktighet siden pandemien brøt i fjor. MobiKwik, JusPay, Upstox, Bizongo, BigBasket, Dominos India og til og med Air India er blant dem.
Ifølge BusinessLine uttalte Kapil Gupta, medgründer, Volon Cyber Security, "Kunder må varsles om enhver datalekkasje som skjer i selskaper, slik at de kan tilbakestille kontoer og endre passord for å beskytte dataene sine. Selv om brukere kan saksøke, reise en klage og til og med be om erstatning, er disse retningslinjene fortsatt åpne for tolkning under retten til personvern eller IT-loven. Artikulasjonen er ikke åpenbar."
"Det foreslåtte lovforslaget om databeskyttelse gir mer klarhet om ansvarligheten til selskapene som står overfor et databrudd. De må frivillig avsløre og betale en bot hvis et datainnbrudd skjer, ellers vil de bli straffet i henhold til loven. Men vi venter fortsatt på DPB, la han til.
Kilde: https://www.ehackingnews.com/2021/07/data-of-100-million-justdial-customers.html
- 100
- 2019
- 2020
- adgang
- aktiv
- blant
- api
- app
- Søknad
- apps
- April
- revisjon
- BigBasket
- Bill
- BP
- brudd
- virksomhet
- endring
- Med-grunnlegger
- Selskaper
- Kunder
- cyber
- cybersikkerhet
- mørk Web
- dato
- datainnbrudd
- datalekkasje
- databeskyttelse
- Database
- levering
- gJORDE
- oppdaget
- emalje
- hendelser
- vendt
- slutt
- Firm
- Først
- første gang
- Fix
- feil
- mat
- matlevering
- Kjønn
- dagligvarer
- Gruppe
- HTTPS
- india
- informasjon
- Internet
- IT
- Law
- lekke
- Lekkasjer
- oppføring
- lokal
- Lokal virksomhet
- Mars
- marsj 2020
- Merchants
- millioner
- Mobil
- film
- navn
- tall
- Tilbud
- på nett
- åpen
- Annen
- pandemi
- passord
- Betale
- betalinger
- Ansatte
- PII
- plattform
- Politikk
- privatliv
- Profil
- Programmering
- beskytte
- beskyttelse
- heve
- sanntids
- Recharge
- Utgivelser
- avhengighet
- rapporterer
- restauranter
- detaljhandel
- Søk
- sikkerhet
- Tjenester
- So
- stake
- Uttalelse
- system
- Teknologi
- tid
- Brukere
- web
- Nettsted
- HVEM
- år
Mer fra E Nyheter om hacking
$6.6 millioner samlet inn av Bit Discovery Selg angrepsoverflatestyringsverktøy
Kilde node: 1857004
Tidstempel: Juni 29, 2021
Cyberfirma: Ransomware Group krever 50 millioner dollar i Accenture-sikkerhetsbrudd
Kilde node: 1864222
Tidstempel: August 13, 2021
Dette sikkerhetsproblemet i Moodle for e-læringsplattform kan til og med endre eksamensresultater
Kilde node: 998194
Tidstempel: August 2, 2021
Feil i Zimbra-serveren kan føre til ubegrenset e-posttilgang
Kilde node: 995499
Tidstempel: Juli 29, 2021
Hvordan hacker nettkriminelle minibanker? Her er en rask titt
Kilde node: 874568
Tidstempel: Kan 25, 2021
Thailands data om 106 millioner besøkende er brutt
Kilde node: 1089498
Tidstempel: September 23, 2021
Russland har utviklet en virtual reality-hjelm for rekruttering
Kilde node: 1864387
Tidstempel: August 13, 2021
Identitetsverifiseringsplattform Troolio lukker en avtale på $394 millioner
Kilde node: 887756
Tidstempel: Juni 8, 2021
Phishing-angripere oppdaget ved hjelp av morsekode for å unngå oppdagelse
Kilde node: 1014382
Tidstempel: August 14, 2021
Russiske forskere har lansert det første kvantenettverket med åpen tilgang i Moskva
Kilde node: 1014419
Tidstempel: August 12, 2021
Koblinger oppdaget mellom MSHTML Zero-Day Attacks og Ransomware Operations
Kilde node: 1875199
Tidstempel: September 20, 2021