Den personligt identifierbara informationen (PII) från cirka 100 miljoner användare av den lokala företagslistningssidan JustDial stod på spel efter att ett applikationsprogrammeringsgränssnitt (API) lämnats exponerat i över ett år.
JustDial är ett indisk internetteknikföretag som erbjuder lokal sökning efter en mängd olika tjänster i Indien via telefon, internet och mobilappar.
En fix verkar dock ha skyddat PII-data, som inkluderar användarnas namn, kön, profilfoton, e-postadresser, telefonnummer och födelsedatum.
Rajshekhar Rajaharia, en oberoende internetsäkerhetsforskare som först twittrade om detta på tisdagen, informerade BusinessLine om att efter att ha upptäckt dataintrånget kontaktade han organisationen, och det korrigerades och fixades omgående.
"Företagets data har exponerats sedan mars 2020, men vi kan ännu inte säga om de har läckt ut. Vi kommer bara att veta när JustDial släpper en revisionsrapport om det, säger Rajaharia.
Vidare tillade han att JustDial behöver en revision eftersom systemet kan ha andra brister. JustDial svarade inte på ett e-postmeddelande som begärde ett uttalande.
JustDial blev ett Mukesh Ambani-gruppföretag för bara tio dagar sedan när Reliance Retail köpte en andel på 41 % i det för 3,497 XNUMX crore dollar. Betalning av räkningar och laddning, mat- och matleverans och reservationer för restauranger, taxibilar, biobiljetter, flygbiljetter och evenemang är bland de tjänster som tillhandahålls av organisationen.
Det är inte första gången som informationen från JustDial har läckt ut. I april 2019 upptäckte Rajaharia att ett liknande API läckte användarinformation i realtid när någon ringde eller skickade ett meddelande till JustDial via dess app eller webbplats. Organisationen uppgav att ha löst problemet, men det verkar ha dykt upp igen ett år senare.
Rajaharia uppgav, JustDial avslöjar aldrig det totala antalet personer som har registrerat sig. De avslöjar antalet aktiva användare och handlare, men aldrig det totala antalet, för varje gång någon ringer plattformens "88888 88888"-nummer, sparas uppringarens data i JustDials databas direkt. Även denna information riskerar att läcka ut. Dessa data kan också spåras i realtid av API:et i fråga. Om en angripare får tillgång till det, skulle de snabbt kunna extrahera och ladda upp data från varje JustDial-användare till Dark Web.
Många kända onlineföretag och deras kunder har blivit offer för dataläckor och slarv sedan pandemin bröt ut förra året. MobiKwik, JusPay, Upstox, Bizongo, BigBasket, Dominos India och till och med Air India är bland dem.
Enligt BusinessLine sa Kapil Gupta, medgrundare, Volon Cyber Security, "Kunder måste underrättas om alla dataläckor som händer i företag så att de kan återställa konton och ändra lösenord för att skydda sina data. Även om användare kan stämma, framföra ett klagomål och till och med begära skadestånd, enligt rätten till integritet eller IT-lagarna, är dessa policyer fortfarande öppna för tolkning. Artikulationen är inte uppenbar.”
"Den föreslagna dataskyddslagstiftningen ger mer klarhet om ansvarsskyldighet för företag som står inför ett dataintrång. De måste frivilligt avslöja och betala böter om ett dataintrång inträffar, annars kommer de att straffas enligt lagen. Men vi väntar fortfarande på DPB, tillade han.
Källa: https://www.ehackingnews.com/2021/07/data-of-100-million-justdial-customers.html
- 100
- 2019
- 2020
- tillgång
- aktiv
- bland
- api
- app
- Ansökan
- appar
- April
- revision
- BigBasket
- Bill
- BP
- brott
- företag
- byta
- Medgrundare
- Företag
- Kunder
- cyber
- Cybersäkerhet
- mörk Web
- datum
- dataintrång
- dataläckage
- dataskydd
- Databas
- leverans
- DID
- upptäckt
- händelser
- vänd
- änden
- Firm
- Förnamn
- första gången
- Fast
- brister
- livsmedelsproduktion
- matleverans
- Kön
- matvaror
- Grupp
- HTTPS
- indien
- informationen
- Internet
- IT
- Lag
- läckage
- Läckor
- lista
- lokal
- Lokalt företag
- Mars
- marsch 2020
- Merchants
- miljon
- Mobil
- film
- namn
- nummer
- Erbjudanden
- nätet
- öppet
- Övriga
- pandemi
- lösenord
- Betala
- betalningar
- Personer
- pii
- plattform
- Strategier
- privatpolicy
- Profil
- Programmering
- skydda
- skydd
- höja
- realtid
- refill
- meddelanden
- tillit
- rapport
- restauranger
- detaljhandeln
- Sök
- säkerhet
- Tjänster
- So
- spel
- .
- system
- Teknologi
- tid
- användare
- webb
- Webbplats
- VEM
- år
Mer från E Nyheter om hacking
Numando: en banktrojan som riktar sig mot Brasilien missbrukar YouTube för spridning
Källnod: 1875198
Tidsstämpel: September 20, 2021
Privata detaljer äventyras efter cyberattack mot NSW Health
Källnod: 887754
Tidsstämpel: Juni 8, 2021
IISpy: Installerar Backdoor på Microsofts webbserverprogramvara
Källnod: 1022323
Tidsstämpel: Augusti 11, 2021
Den tyska valmyndigheten bekräftar trolig cyberattack
Källnod: 1867105
Tidsstämpel: September 19, 2021
Anonymous Hacking Group riktar sig mot kontroversiell webbhotell Epik
Källnod: 1089502
Tidsstämpel: September 22, 2021
Ryska elektroniska röstningssystem drabbats av 19 DDoS-attacker på en dag
Källnod: 1875518
Tidsstämpel: September 22, 2021
Apple åtgärdar macOS Zero Day-sårbarhet, missbrukad av XCSSET macOS Malware
Källnod: 874560
Tidsstämpel: Maj 26, 2021
Länkar upptäckta mellan MSHTML Zero-Day Attacks och Ransomware-operationer
Källnod: 1875199
Tidsstämpel: September 20, 2021
Underjordiska brottslingar som säljer stulen nätverksåtkomst till tredje part för upp till $10,000 XNUMX
Källnod: 1864251
Tidsstämpel: Augusti 13, 2021
Denna sårbarhet i E-Learning Platform Moodle kan till och med ändra provresultat
Källnod: 998194
Tidsstämpel: Augusti 2, 2021
Ryska forskare har lanserat det första kvantnätverket med öppen tillgång i Moskva
Källnod: 1014419
Tidsstämpel: Augusti 12, 2021