Dữ liệu của 100 triệu khách hàng JustDial không được đảm bảo trong hơn một năm

Thông tin nhận dạng cá nhân (PII) của khoảng 100 triệu người dùng trang web danh sách doanh nghiệp địa phương JustDial bị đe dọa sau khi Giao diện lập trình ứng dụng (API) bị lộ hơn một năm. 

JustDial là một công ty công nghệ internet của Ấn Độ cung cấp dịch vụ tìm kiếm địa phương cho nhiều loại dịch vụ ở Ấn Độ thông qua điện thoại, Internet và các ứng dụng di động. 

Tuy nhiên, bản sửa lỗi dường như đã bảo vệ dữ liệu PII, bao gồm tên, giới tính, ảnh hồ sơ, địa chỉ email, số điện thoại và ngày sinh của người dùng. 

Rajshekhar Rajaharia, một nhà nghiên cứu bảo mật internet độc lập, người đầu tiên tweet về điều này vào thứ Ba, đã thông báo với BusinessLine rằng sau khi phát hiện ra vi phạm dữ liệu, anh ấy đã liên hệ với tổ chức và nó đã được vá và sửa ngay lập tức. 

“Dữ liệu của công ty đã bị lộ từ tháng 2020 năm XNUMX, mặc dù chúng tôi chưa thể nói liệu chúng có bị rò rỉ hay không. Chúng tôi sẽ chỉ biết một khi JustDial phát hành một báo cáo kiểm toán về nó, ”Rajaharia tuyên bố. 

Hơn nữa, ông nói thêm rằng JustDial cần được kiểm tra vì hệ thống có thể có những sai sót khác. JustDial đã không trả lời email yêu cầu tuyên bố. 

JustDial trở thành công ty thuộc tập đoàn Mukesh Ambani chỉ mười ngày trước khi Reliance Retail mua 41% cổ phần của nó với giá $ 3,497 crore. Thanh toán hóa đơn và nạp tiền, giao hàng tạp hóa và thực phẩm cũng như đặt chỗ nhà hàng, xe taxi, vé xem phim, vé máy bay và các sự kiện nằm trong số các dịch vụ do tổ chức này cung cấp. 

Đây không phải là lần đầu tiên thông tin của JustDial bị rò rỉ. Vào tháng 2019 năm XNUMX, Rajaharia phát hiện ra rằng một API tương tự đã rò rỉ thông tin người dùng trong thời gian thực bất cứ khi nào ai đó gọi điện hoặc nhắn tin cho JustDial thông qua ứng dụng hoặc trang web của nó. Tổ chức này cho biết đã giải quyết được vấn đề nhưng có vẻ như vấn đề này đã tái diễn một năm sau đó. 

Rajaharia cho biết, JustDial không bao giờ tiết lộ tổng số người đã đăng ký. Họ tiết lộ số lượng người dùng và người bán đang hoạt động, nhưng không bao giờ tiết lộ tổng số, bởi vì mỗi khi ai đó quay số “88888 88888” của nền tảng, dữ liệu người gọi sẽ được lưu ngay lập tức vào cơ sở dữ liệu của JustDial. Thông tin này cũng có nguy cơ bị rò rỉ. Dữ liệu này cũng có thể được theo dõi trong thời gian thực bởi API được đề cập. Nếu kẻ tấn công có được quyền truy cập vào nó, chúng sẽ có thể nhanh chóng trích xuất và tải dữ liệu của mọi người dùng JustDial lên Dark Web.

Nhiều công ty trực tuyến nổi tiếng và khách hàng của họ đã là nạn nhân của sự cố rò rỉ dữ liệu và sự bất cẩn kể từ khi đại dịch bùng phát vào năm ngoái. MobiKwik, JusPay, Upstox, Bizongo, BigBasket, Dominos India và thậm chí Air India cũng nằm trong số đó. 

Theo BusinessLine, Kapil Gupta, đồng sáng lập, Volon Cyber ​​Security cho biết, “Khách hàng cần được thông báo về bất kỳ sự cố rò rỉ dữ liệu nào xảy ra trong các công ty để họ có thể thiết lập lại tài khoản và thay đổi mật khẩu để bảo vệ dữ liệu của mình. Mặc dù người dùng có thể khởi kiện, khiếu nại và thậm chí yêu cầu bồi thường thiệt hại, theo Quyền về quyền riêng tư hoặc Hành vi CNTT, các chính sách này vẫn được mở để giải thích. Sự khớp nối không rõ ràng. ” 

“Dự luật Bảo vệ Dữ liệu được đề xuất nêu rõ hơn về trách nhiệm giải trình của các công ty đối mặt với vi phạm dữ liệu. Họ phải tự nguyện tiết lộ và nộp phạt nếu vi phạm dữ liệu xảy ra hoặc họ sẽ bị trừng phạt theo pháp luật. Nhưng chúng tôi vẫn đang chờ DPB, ”ông nói thêm.