Data fra 100 millioner JustDial-kunder har vært usikret i over et år

Personlig identifiserbar informasjon (PII) til omtrent 100 millioner brukere av det lokale virksomhetsoppføringsnettstedet JustDial var på spill etter at et applikasjonsprogrammeringsgrensesnitt (API) ble eksponert i over et år. 

JustDial er et indisk internettteknologifirma som tilbyr lokalt søk etter en rekke tjenester i India via telefon, Internett og mobilapper. 

En løsning ser imidlertid ut til å ha beskyttet PII-dataene, som inkluderer brukernes navn, kjønn, profilbilder, e-postadresser, telefonnumre og fødselsdatoer. 

Rajshekhar Rajaharia, en uavhengig internettsikkerhetsforsker som først twitret om dette på tirsdag, informerte BusinessLine om at etter å ha oppdaget datainnbruddet, tok han kontakt med organisasjonen, og det ble lappet og fikset umiddelbart. 

"Selskapets data har vært avslørt siden mars 2020, selv om vi ikke kan si ennå om de har blitt lekket. Vi vil bare vite det når JustDial gir ut en revisjonsrapport om det," sa Rajaharia. 

Videre la han til at JustDial trenger en revisjon fordi systemet kan ha andre feil. JustDial svarte ikke på en e-post som ba om en uttalelse. 

JustDial ble et Mukesh Ambani-konsernfirma for bare ti dager siden da Reliance Retail kjøpte en 41% eierandel i det for 3,497 crore dollar. Regningsbetalinger og opplading, levering av dagligvarer og mat, og reservasjoner av restauranter, drosjer, kinobilletter, flybilletter og arrangementer er blant tjenestene som tilbys av organisasjonen. 

Dette er ikke første gang informasjonen til JustDial har blitt lekket. I april 2019 oppdaget Rajaharia at en lignende API lekket brukerinformasjon i sanntid hver gang noen ringte eller sendte melding til JustDial via appen eller nettstedet. Organisasjonen uttalte å ha løst problemet, men det ser ut til å ha dukket opp igjen et år senere. 

Rajaharia uttalte, JustDial avslører aldri det totale antallet personer som har registrert seg. De avslører antallet aktive brukere og selgere, men aldri det totale antallet, fordi hver gang noen ringer plattformens "88888 88888"-nummer, lagres oppringerdataene i JustDials database med en gang. Denne informasjonen står også i fare for å bli lekket. Disse dataene kan også spores i sanntid av den aktuelle API. Hvis en angriper får tilgang til det, vil de raskt kunne trekke ut og laste opp dataene til hver JustDial-bruker til Dark Web.

Mange kjente nettfirmaer og deres kunder har vært ofre for datalekkasjer og uforsiktighet siden pandemien brøt i fjor. MobiKwik, JusPay, Upstox, Bizongo, BigBasket, Dominos India og til og med Air India er blant dem. 

Ifølge BusinessLine uttalte Kapil Gupta, medgründer, Volon Cyber ​​Security, "Kunder må varsles om enhver datalekkasje som skjer i selskaper, slik at de kan tilbakestille kontoer og endre passord for å beskytte dataene sine. Selv om brukere kan saksøke, reise en klage og til og med be om erstatning, er disse retningslinjene fortsatt åpne for tolkning under retten til personvern eller IT-loven. Artikulasjonen er ikke åpenbar." 

"Det foreslåtte lovforslaget om databeskyttelse gir mer klarhet om ansvarligheten til selskapene som står overfor et databrudd. De må frivillig avsløre og betale en bot hvis et datainnbrudd skjer, ellers vil de bli straffet i henhold til loven. Men vi venter fortsatt på DPB, la han til.