Los usuarios de Dunzo deben tener cuidado después de filtrar sus números de teléfono e ID de correo electrónico

El sábado, Mukund Jha, el CTO de un servicio de entrega indio llamado Dunzo, se enfrentó a la difícil tarea de decirles a los usuarios que algunos de sus datos habían sido expuestos. En una publicación de blog, Jha se disculpó profusamente y explicó que los hackers habían obtenido acceso a los números de teléfono y direcciones de correo electrónico de un número no revelado de usuarios de Dunzo.

Dunzo: una violación de terceros condujo a la exposición de los datos de los usuarios

El director de tecnología de Dunzo dijo que la investigación aún está en curso, pero señaló que los piratas informáticos no atacaron a Dunzo. Se rompió el servidor de un tercero con el que trabaja la startup y, a través de él, los delincuentes lograron llegar a una base de datos Dunzo que contenía números de teléfono y direcciones de correo electrónico.

Tan pronto como se enteraron de la violación, Jha y su equipo inmediatamente comenzaron a trabajar para asegurar los datos y garantizar que no ocurrieran incidentes similares en el futuro. Los pasos que tomaron incluyen implementar un sistema que los alertará de cualquier actividad sospechosa, revisar los complementos de terceros, ajustar las políticas de control de acceso, cambiar las contraseñas internas, rotar los tokens de acceso y actualizar toda la configuración de la red. Más o menos, hicieron todas las cosas que una empresa debería hacer después de una violación de datos, así como algunas de las cosas que una empresa debería hacer idealmente antes de que los datos terminen expuestos.

Dunzo se apresuró a revelar la violación, pero algunos de los detalles siguen siendo desconocidos

La publicación del blog de Jha fue pegada en un correo electrónico y enviada a algunos de los clientes de Dunzo. Uno de esos clientes fue el investigador independiente y profesional de ciberseguridad Niranjan Patil, quien elogió a Dunzo por ser sincero sobre el incidente.

De hecho, es bueno ver a una empresa de nueva creación que ha sufrido una calamidad de seguridad cibernética admitir el hack y revelarlo lo más rápido posible. Dicho esto, el aviso de Mukund Jha podría haber contenido menos disculpas y un poco más de detalles.

Jha señaló que la compañía todavía está investigando el incidente, por lo que es justo suponer que incluso él no tiene la imagen completa. El hecho de que el tercero que fue pirateado permanezca sin nombre por ahora también es algo comprensible.

Sin embargo, Dunzo podría haber revelado al menos cuándo ocurrió la violación y cómo la compañía se enteró. Tampoco se revela el número de usuarios potencialmente afectados, lo que significa que es imposible estimar el alcance del incidente. La gente también podría preguntarse si algún dato de inicio de sesión se vio afectado durante la violación. Los usuarios habituales se suscriben al servicio con una contraseña de un solo uso enviada a sus teléfonos, pero las empresas que trabajan con Dunzo confían en un sistema tradicional de autenticación de nombre de usuario y contraseña, y aunque la notificación dice que no se ha expuesto ninguna información de pago, no se mencionaron las credenciales de inicio de sesión.

Los detalles que faltan significan que, en este punto, los usuarios pueden hacer poco más que esperar que la violación no sea tan grave. También pueden esperar que cualquier comunicación futura sobre el incidente sea un poco más detallada.