Data om 100 miljoner JustDial-kunder som lämnats osäkrade i över ett år

Den personligt identifierbara informationen (PII) från cirka 100 miljoner användare av den lokala företagslistningssidan JustDial stod på spel efter att ett applikationsprogrammeringsgränssnitt (API) lämnats exponerat i över ett år. 

JustDial är ett indisk internetteknikföretag som erbjuder lokal sökning efter en mängd olika tjänster i Indien via telefon, internet och mobilappar. 

En fix verkar dock ha skyddat PII-data, som inkluderar användarnas namn, kön, profilfoton, e-postadresser, telefonnummer och födelsedatum. 

Rajshekhar Rajaharia, en oberoende internetsäkerhetsforskare som först twittrade om detta på tisdagen, informerade BusinessLine om att efter att ha upptäckt dataintrånget kontaktade han organisationen, och det korrigerades och fixades omgående. 

"Företagets data har exponerats sedan mars 2020, men vi kan ännu inte säga om de har läckt ut. Vi kommer bara att veta när JustDial släpper en revisionsrapport om det, säger Rajaharia. 

Vidare tillade han att JustDial behöver en revision eftersom systemet kan ha andra brister. JustDial svarade inte på ett e-postmeddelande som begärde ett uttalande. 

JustDial blev ett Mukesh Ambani-gruppföretag för bara tio dagar sedan när Reliance Retail köpte en andel på 41 % i det för 3,497 XNUMX crore dollar. Betalning av räkningar och laddning, mat- och matleverans och reservationer för restauranger, taxibilar, biobiljetter, flygbiljetter och evenemang är bland de tjänster som tillhandahålls av organisationen. 

Det är inte första gången som informationen från JustDial har läckt ut. I april 2019 upptäckte Rajaharia att ett liknande API läckte användarinformation i realtid när någon ringde eller skickade ett meddelande till JustDial via dess app eller webbplats. Organisationen uppgav att ha löst problemet, men det verkar ha dykt upp igen ett år senare. 

Rajaharia uppgav, JustDial avslöjar aldrig det totala antalet personer som har registrerat sig. De avslöjar antalet aktiva användare och handlare, men aldrig det totala antalet, för varje gång någon ringer plattformens "88888 88888"-nummer, sparas uppringarens data i JustDials databas direkt. Även denna information riskerar att läcka ut. Dessa data kan också spåras i realtid av API:et i fråga. Om en angripare får tillgång till det, skulle de snabbt kunna extrahera och ladda upp data från varje JustDial-användare till Dark Web.

Många kända onlineföretag och deras kunder har blivit offer för dataläckor och slarv sedan pandemin bröt ut förra året. MobiKwik, JusPay, Upstox, Bizongo, BigBasket, Dominos India och till och med Air India är bland dem. 

Enligt BusinessLine sa Kapil Gupta, medgrundare, Volon Cyber ​​Security, "Kunder måste underrättas om alla dataläckor som händer i företag så att de kan återställa konton och ändra lösenord för att skydda sina data. Även om användare kan stämma, framföra ett klagomål och till och med begära skadestånd, enligt rätten till integritet eller IT-lagarna, är dessa policyer fortfarande öppna för tolkning. Artikulationen är inte uppenbar.” 

"Den föreslagna dataskyddslagstiftningen ger mer klarhet om ansvarsskyldighet för företag som står inför ett dataintrång. De måste frivilligt avslöja och betala böter om ett dataintrång inträffar, annars kommer de att straffas enligt lagen. Men vi väntar fortfarande på DPB, tillade han.