Licences multi-appareils (remises sur volume)

Changer de région

English Deutsch Español Français Italiano Português 日本語 汉语 漢語
Computer Security Fuite d'informations personnelles sur 100 millions de...

Fuite d'informations personnelles sur 100 millions de clients JustDial

Par GoldSparrow en Computer Security
Se traduisent par :
Français

rupture de fuite de données justdial Les informations de compte privé de 100 millions utilisateurs du fournisseur de recherche locale JustDial basé en Inde ont été divulguées en ligne. La base de données non protégée contient des informations personnellement identifiables qui sont mises à jour en temps réel, selon le chercheur indépendant Rajshekhar Rajaharia, qui a découvert la première violation de données. M. Rajaharia a tenté de contacter JustDial au sujet de l’API non sécurisée qui permettait l’accès aux données des clients mais, après avoir attendu 5 jours sans recevoir de réponse, il a décidé de se rendre public.

Apparemment, tous les utilisateurs de JustDial ont été touchés par la fuite, quel que soit le moyen utilisé pour accéder au service - via application mobile, le site Web ou le numéro de téléphone du support client. En fait, environ 70% des informations de la base de données ont été recueillies auprès de personnes qui ont appelé le numéro "8888 8888" de JustDial. La violation est assez grave en raison de la quantité de détails qui ont pu être visualisés par des tiers non autorisés car ils noms, numéros de téléphone mobile, e-mails, adresses personnelles, sexe, date de naissance, photos, profession, etc.

Le chercheur indépendant a découvert la base de données contenant les informations via une ancienne API qui est plus utilisée par JustDial mais qui a été laissée sur le serveur. API en question ne semble pas avoir été mise à jour depuis mi-2015, de sorte que la violation de la sécurité est peut-être active depuis près de 4 ans. Il y avait autres anciennes API non protégées, une entre elles pouvant être utilisée pour déclencher des demandes de désinscription pour tous les numéros enregistrés en envoyant des courriels aux clients concernés et en créant davantage de maux de tête pour JustDial.

La société nie une atteinte à la sécurité

JustDial a publié un communiqué dans lequel il réfute les informations sur les informations confidentielles de leurs clients, indiquant que toutes les informations financières et tous les mots de passe des comptes sont stockés dans un format à double cryptage. En outre, la société a précisé que ancienne échappatoire de API avait été corrigée alors que les versions les plus récentes de leur application ne contenaient pas la vulnérabilité: "Cette vulnérabilité qui existait sur les anciennes plates-formes applications est désormais corrigée. Les nouvelles versions (actuelles) de application où la majorité des les utilisateurs disponibles ne présentent pas la vulnérabilité ci-dessus. " JustDial a également déclaré qu un audit technique indépendant sera effectué pour rechercher les vulnérabilités existantes.

Chargement...