JustDial: JustDial diz que corrigiu falha de segurança que permitia o acesso de hackers – Últimas Notícias
UMA cíber segurança O pesquisador Ehraz Ahmed descobriu a vulnerabilidade, que foi relatada pela moneycontrol.com.
Ahmed escreveu em um post de blog que uma das APIs internas da JustDial potencialmente permitia que um hacker fizesse login em uma conta de usuário ignorando o número de telefone.
A falha poderia retornar um token de acesso, ID do sistema (SID) e ID do usuário (UID)
Usando o SID, o hacker pode acessar várias contas do usuário. Além disso, o UID permitiria que o hacker publicasse no perfil do usuário.
"Hackers e operadores de telemarketing podem extrair os dados do JustDial automatizando um script usando um dump de número de telefone encontrado on-line", escreveu Ahmed.
"O hackers Também é possível acessar sua conta do Justdial Pay e receber fundos em seu nome, digitando as informações da conta bancária nas Configurações de detalhes bancários, mas eles não podem transferir os fundos, pois exige que eles tenham acesso à sua conta bancária / código UPI ”, afirmou.
Ahmed, que também compartilhou um vídeo demonstrando a falha, disse à ET que a empresa havia corrigido a falha dentro de um dia.
Em um comunicado à BSE, a JustDial reconheceu a vulnerabilidade e disse que poderia ser acessada por um hacker especialista para coletar informações básicas do usuário. A empresa disse que a falha foi corrigida e que não houve roubo de dados ou perda financeira para a empresa, seus usuários ou clientes.
A empresa alegou que tinha 156 milhões de usuários únicos em junho de 2019.
No início de abril, a ET havia relatado que uma violação levou ao vazamento de dados de mais de 100 milhões de usuários na JustDial, incluindo nomes, identificações de email, números de celular, sexo, data de nascimento e endereços. No entanto, a empresa sediada em Mumbai negou a violação.
Source link
