Una base de datos desprotegida perteneciente a Sólo marqueel servicio de búsqueda local más grande de la India, está filtrando información de identificación personal de todos sus clientes en tiempo real que accedieron al servicio a través de su sitio web, aplicación móvil o incluso llamando a su elegante número de atención al cliente «88888 88888», The Hacker News tiene aprendido y verificado independientemente.
Fundado hace más de dos décadas, JustDial (JD) es el motor de búsqueda local más antiguo y líder en la India que permite a los usuarios encontrar rápidamente proveedores y vendedores cercanos relevantes de varios productos y servicios, mientras ayuda a las empresas que figuran en JD a comercializar sus ofertas.
Rajshekhar Rajahariaun investigador de seguridad independiente, se puso en contacto ayer con The Hacker News y compartió detalles sobre cómo cualquier persona puede acceder a un punto final API desprotegido y de acceso público de la base de datos de JustDial para ver la información de perfil de más de 100 millones de usuarios asociados con sus números de teléfono móvil.
Los datos filtrados incluyen el nombre, el correo electrónico, el número de teléfono móvil, la dirección, el sexo, la fecha de nacimiento, la foto, la ocupación y el nombre de la empresa con la que están trabajando los usuarios de JustDial, básicamente cualquier información relacionada con el perfil que un cliente haya proporcionado alguna vez a la empresa.
Aunque las API desprotegidas existen desde al menos mediados de 2015, no está claro si alguien las ha utilizado indebidamente para recopilar información personal sobre los usuarios de JustDial.
Justdial está filtrando datos personales de todos los clientes
Después de verificar el punto final con fugas, The Hacker News también quería verificar si la API está obteniendo resultados directamente del servidor de producción o de una base de datos de respaldo que podría no tener información perteneciente a usuarios registrados recientemente.
Para encontrar esto, le proporcioné a Rajshekhar un nuevo número de teléfono que nunca antes se había registrado en el servidor de Justdial, que confirmó que no figuraba en la base de datos en ese momento.
En lugar de instalar y usar la aplicación JD o su sitio web, simplemente llamé al número de atención al cliente y compartí un nombre aleatorio y detalles personales con el ejecutivo para conocer algunos buenos restaurantes en mi ciudad.
Inmediatamente después de completar la llamada, Rajshekhar me envió los detalles del perfil que compartí con el ejecutivo de JD asociado con el mismo número de teléfono que anteriormente no se encontraba en la base de datos, lo que indica que la API desprotegida está brindando información en tiempo real de los usuarios.
Aunque la API desprotegida está conectada a la base de datos principal de JD, Rajshekhar reveló que se trata de un punto final de API antiguo que la empresa no utiliza actualmente pero que se ha olvidado en el servidor.
Rajshekhar le dijo a The Hacker News que descubrió este punto final desprotegido mientras analizaba las últimas API en uso, que aparentemente están protegidas y usan medidas de autenticación.
Además de esto, Rajshekhar también encontró algunas otras API antiguas desprotegidas, una de las cuales podría permitir que cualquier persona active la solicitud OPT para cualquier número de teléfono registrado, lo que podría no ser un problema de seguridad grave, pero podría usarse para enviar spam a los usuarios y costarle a la empresa.
Rajshekhar también afirmó que trató de comunicarse con la empresa para divulgar sus hallazgos de manera responsable, pero lamentablemente no pudo encontrar ninguna forma directa de contactar a la empresa e informar el incidente.
Hacker News también envió un correo electrónico a algunas direcciones de correo electrónico, vinculadas a la empresa, que encontramos en Internet, proporcionando los detalles del incidente. Actualizaremos este informe cuando tengamos noticias. Manténganse al tanto.
