Dunzo-Benutzer müssen vorsichtig sein, nachdem ihre Telefonnummern und E-Mail-IDs durchgesickert sind
Am Samstag stand Mukund Jha, CTO eines indischen Lieferservices namens Dunzo, vor der nicht beneidenswerten Aufgabe, den Benutzern mitzuteilen, dass einige ihrer Daten offengelegt worden waren. In einem Blog-Beitrag entschuldigte sich Jha ausgiebig und erklärte, dass Hacker Zugriff auf die Telefonnummern und E-Mail-Adressen einer unbekannten Anzahl von Dunzo-Benutzern erhalten hätten.
Dunzo: Ein Verstoß Dritter führte zur Offenlegung von Benutzerdaten
Dunzos CTO sagte, dass die Untersuchung noch andauere, aber er wies darauf hin, dass die Hacker Dunzo selbst nicht angegriffen hätten. Der Server eines Drittanbieters, mit dem das Startup zusammenarbeitet, wurde verletzt, und die Gauner gelang es, zu einer Dunzo-Datenbank zu gelangen, die Telefonnummern und E-Mail-Adressen enthielt.
Sobald sie von dem Verstoß erfahren hatten, begannen Jha und sein Team sofort damit, die Daten zu sichern und sicherzustellen, dass ähnliche Vorfälle in Zukunft nicht mehr auftreten. Die Schritte, die sie unternommen haben, umfassen die Implementierung eines Systems, das sie über verdächtige Aktivitäten informiert, das Überprüfen von Plugins von Drittanbietern, das Verschärfen von Zugriffssteuerungsrichtlinien, das Ändern interner Kennwörter, das Drehen von Zugriffstoken und das Aktualisieren der gesamten Netzwerkkonfiguration. Mehr oder weniger haben sie alle Dinge getan, die ein Unternehmen nach einem Datenverstoß tun sollte, sowie einige Dinge, die ein Unternehmen idealerweise tun sollte, bevor die Daten offengelegt werden.
Dunzo gab den Verstoß schnell bekannt, aber einige Details sind noch nicht bekannt
Jhas Blog-Post wurde in eine E-Mail eingefügt und an einige Kunden von Dunzo gesendet. Einer dieser Kunden war der unabhängige Forscher und Cybersicherheitsprofi Niranjan Patil, der Dunzo dafür lobte, dass er über den Vorfall informiert war.
Es ist in der Tat gut zu sehen, dass ein Startup-Unternehmen, das unter einer Cybersicherheitskatastrophe leidet, den Hack zugibt und ihn so schnell wie möglich bekannt gibt. Davon abgesehen hätte Mukund Jhas Mitteilung weniger Entschuldigungen und ein bisschen mehr Details enthalten können.
Jha hat darauf hingewiesen, dass das Unternehmen den Vorfall noch untersucht. Man kann also davon ausgehen, dass selbst er nicht das vollständige Bild hat. Verständlich ist auch, dass der gehackte Dritte vorerst unbenannt bleibt.
Dunzo hätte jedoch zumindest mitteilen können, wann der Verstoß aufgetreten ist und wie das Unternehmen davon erfahren hat. Die Anzahl der potenziell betroffenen Benutzer wird ebenfalls nicht bekannt gegeben, sodass der Umfang des Vorfalls nicht abgeschätzt werden kann. Möglicherweise fragen sich auch Personen, ob während des Verstoßes Anmeldedaten betroffen waren. Normale Benutzer melden sich zwar mit einem Einmalkennwort für den Dienst an, das an ihre Telefone gesendet wird. Die Unternehmen, die mit Dunzo arbeiten, verlassen sich jedoch auf ein traditionelles Authentifizierungssystem für Benutzernamen und Kennwörter. Obwohl in der Benachrichtigung angegeben wurde, dass keine Zahlungsinformationen offengelegt wurden, Anmeldeinformationen wurden nicht erwähnt.
Die fehlenden Details bedeuten, dass Benutzer zu diesem Zeitpunkt kaum mehr tun können, als zu hoffen, dass der Verstoß nicht so schwerwiegend ist. Sie können auch hoffen, dass die zukünftige Kommunikation in Bezug auf den Vorfall etwas detaillierter wird.