Das nächste große Leak: Über 100 Millionen persönliche Daten von JustDial-Nutzern wurde gerade in einer ungeschützten Datenbank gefunden.
Anzeige
JustDial (JD) wurde vor über zwei Jahrzehnten gegründet und ist die älteste und führende lokale Suchmaschine in Indien. Deise ermöglicht es den Nutzern, relevante Anbieter und Verkäufer verschiedener Produkte und Dienstleistungen in der Nähe schnell zu finden. Und gleichzeitig werden die in JustDial gelisteten Unternehmen bei der Vermarktung ihrer Angebote unterstützt. Eine praxisnahe Dienstleistung.
Allerdings war das Ganze wohl ungeschützt und jeder konnte sich an diesen Daten bedienen. Rajshekhar Rajaharia, ein unabhängiger Sicherheitsforscher, kontaktierte gestern The Hacker News.
Dear #JustDial #CFO Old APIs were connected to you current Database. How you can say nothing happen. Chk Attached Image. Everything was in public Domain Github too and Google Search – https://t.co/06wvmsI9wN Anyone Can Change Endpoints in API to get Personal info. pic.twitter.com/r54wUzfF9F
— Rajshekhar Rajaharia (@rajaharia) 18. April 2019
Er teilte mit, wie ein ungeschützter, öffentlich zugänglicher API-Endpunkt der JustDial-Datenbank von jedermann erreicht werden kann, um Profilinformationen von über 100 Millionen Benutzern anzuzeigen, die mit ihren Mobiltelefonnummern mit dem Dienst verbunden sind. Die ungeschützte JustDial-Datenbank enthielt personenbezogene Daten von jedem Kunden, der über die Website, die mobile App oder sogar über seine ausgefallene "8888888 8888888"-Kundendienstnummer auf den Dienst zugegriffen hat.
Details sind bei The Hacker News nachzulesen. Der Vorfall zeigt erneut, wie wackelig das Ganze geworden ist. Wer online ist, muss davon ausgehen, dass er keine Privatsphäre mehr hat und alle Daten, die irgendwie online erreichbar sind, irgendwann auch an das Licht der Öffentlichkeit gelangen – entweder durch Nachlässigkeit oder durch einen Hack.
2015
