Personal Info of 100 Million JustDial Customers Leaked

インドを拠点とするローカル検索プロバイダーJustDialの1億人のユーザーの個人アカウント情報がオンラインで漏洩した。保護されていないデータベースには、最初にデータ侵害を発見した独立研究者Rajshekhar Rajahariaに従ってリアルタイムで更新されている個人を特定できる情報が含まれています。 Rajaharia氏は、顧客のデータへのアクセスを許可したセキュリティで保護されていないAPIについてJustDialに連絡を取ろうとしましたが、5日経っても回答が得られなかったため、公開することにしました。

どうやら、すべてのJustDialユーザーは、モバイルアプリ、Webサイト、またはカスタマーサポートの電話番号を使ってサービスにアクセスした方法に関係なく、リークの影響を受けました。実際、データベース内の情報の約70％は、JustDialの「8888 8888」という番号を付けた人々から収集されたものです。不正が含まれているために不正な第三者によって閲覧されている可能性があります。名前、携帯電話番号、Eメール、自宅住所、性別、生年月日、写真、職業など。

独立研究者は、JustDialでは使用されなくなったがサーバーに残されている古いAPIを介して情報を使用してデータベースを発見しました。問題のAPIは2015年半ば以降更新されていないようであるため、セキュリティ侵害は4年近く続いている可能性があります。他にも保護されていない古いAPIがあり、そのうちの1つを使用して、影響を受ける顧客に電子メールをスパム送信したり、JustDialに頭痛を投げかけたりするすべての登録番号に対するオプトアウト要求をトリガーできます。

会社はセキュリティ違反を否定します

JustDialは、すべての財務情報とアカウントのパスワードが二重暗号化形式で保存されていると言って、顧客の情報が漏洩しているというニュースに反論する声明を発表しました。さらに同社は、古いAPIの抜け穴が修正され、新しいバージョンのアプリにはこの脆弱性が含まれていないことを明らかにしました。「古いアプリプラットフォームに存在したこの脆弱性も修正されました。利用可能なユーザーに上記の脆弱性はありません。」 JustDialはまた、既存の脆弱性を検索するために独立した技術監査を実施すると述べました。