Personal Info of 100 Million JustDial Customers Leaked

印度本地搜索提供商JustDial的1亿用户的私人帐户信息已在网上泄露。根据首次发现数据泄露的独立研究员Rajshekhar Rajaharia ，未受保护的数据库包含可实时更新的个人身份信息。 Rajaharia先生试图联系JustDial，了解允许访问客户数据的无担保API，但在等待5天并且没有得到答复后，他决定上市。

显然，无论访问服务的方式如何，所有JustDial用户都会受到泄密的影响 - 通过移动应用，网站或使用客户支持电话号码。实际上，数据库中大约70％的信息是从称为JustDial的"8888 8888"号码的人那里收集的。由于未经授权的第三方可能已经查看过的大量详细信息，因此它的严重程度非常严重。姓名，手机号码，电子邮件，家庭住址，性别，出生日期，照片，职业等。

独立研究人员通过旧的API发现了数据库，该旧的API不再被JustDial使用，而是留在了服务器上。自2015年中期以来，有问题的API似乎没有更新，因此安全漏洞可能已经活跃了近4年。还有其他旧的无保护API，其中一个可用于触发所有注册号码的选择退出请求，通过电子邮件向受影响的客户发送垃圾邮件，并为JustDial造成更多麻烦。

公司否认安全漏洞

JustDial发表声明驳斥了有关客户信息被泄露的消息，称所有财务信息和账户密码都以双重加密格式存储。此外，该公司澄清说旧的API漏洞已得到修复，而其新版本的应用程序不包含此漏洞："旧版应用程序平台上存在的此漏洞现在也已修复。更新（当前）版本的应用程序大多数用户可用没有上述漏洞。" JustDial还表示，将进行独立的技术审计，以搜索任何现有的漏洞。