Personal Info of 100 Million JustDial Customers Leaked

印度本地搜索提供商JustDial的1億用戶的私人帳戶信息已在網上洩露。根據首次發現數據洩露的獨立研究員Rajshekhar Rajaharia ，未受保護的數據庫包含可實時更新的個人身份信息。 Rajaharia先生試圖聯繫JustDial，了解允許訪問客戶數據的無擔保API，但在等待5天並且沒有得到答復後，他決定上市。

顯然，無論訪問服務的方式如何，所有JustDial用戶都會受到洩密的影響 - 通過移動應用，網站或使用客戶支持電話號碼。實際上，數據庫中大約70％的信息是從稱為JustDial的"8888 8888"號碼的人那裡收集的。由於未經授權的第三方可能已經查看過的大量詳細信息，因此它的嚴重程度非常嚴重。姓名，手機號碼，電子郵件，家庭住址，性別，出生日期，照片，職業等。

獨立研究人員通過舊的API發現了數據庫，該舊的API不再被JustDial使用，而是留在了服務器上。自2015年中期以來，有問題的API似乎沒有更新，因此安全漏洞可能已經活躍了近4年。還有其他舊的無保護API，其中一個可用於觸發所有註冊號碼的選擇退出請求，通過電子郵件向受影響的客戶發送垃圾郵件，並為JustDial造成更多麻煩。

公司否認安全漏洞

JustDial發表聲明駁斥了有關客戶信息被洩露的消息，稱所有財務信息和賬戶密碼都以雙重加密格式存儲。此外，該公司澄清說舊的API漏洞已得到修復，而其新版本的應用程序不包含此漏洞："舊版應用程序平台上存在的此漏洞現在也已修復。更新（當前）版本的應用程序大多數用戶可用沒有上述漏洞。" JustDial還表示，將進行獨立的技術審計，以搜索任何現有的漏洞。