Les utilisateurs de Dunzo doivent faire attention après la fuite de leurs numéros de téléphone et identifiants de messagerie
Samedi, Mukund Jha, le CTO d'un service de livraison indien appelé Dunzo, a été confronté à la tâche peu enviable de dire aux utilisateurs que certaines de leurs données avaient été exposées. Dans un article de blog, Jha s'est excusé abondamment et a expliqué que les pirates avaient eu accès aux numéros de téléphone et adresses e-mail d'un nombre non divulgué d'utilisateurs de Dunzo.
Dunzo: une violation par un tiers a conduit à l'exposition des données des utilisateurs
Le directeur technique de Dunzo a déclaré que l'enquête était toujours en cours, mais il a souligné que les pirates n'avaient pas attaqué Dunzo lui-même. Le serveur d'un tiers avec lequel la startup travaille a été piraté, et grâce à lui, les escrocs ont réussi à accéder à une base de données Dunzo contenant des numéros de téléphone et des adresses e-mail.
Dès qu'ils ont été informés de la violation, Jha et son équipe ont immédiatement commencé à travailler sur la sécurisation des données et à garantir que des incidents similaires ne se produisent pas à l'avenir. Les mesures qu'ils ont prises incluent la mise en œuvre d'un système qui les alertera de toute activité suspecte, l'examen des plug-ins tiers, le renforcement des politiques de contrôle d'accès, la modification des mots de passe internes, la rotation des jetons d'accès et la mise à jour de la configuration réseau entière. Plus ou moins, ils ont fait tout ce qu'une entreprise devrait faire au lendemain d'une violation de données, ainsi que certaines des choses qu'une entreprise devrait idéalement faire avant que les données ne soient exposées.
Dunzo n'a pas tardé à divulguer la violation, mais certains détails restent inconnus
Le blog de Jha a été collé dans un e-mail et envoyé à certains clients de Dunzo. L'un de ces clients était le chercheur indépendant et professionnel de la cybersécurité Niranjan Patil, qui a félicité Dunzo pour avoir été franc au sujet de l'incident.
Il est en effet bon de voir une startup qui a subi une calamité de cybersécurité admettre le piratage et le divulguer le plus rapidement possible. Cela étant dit, l'avis de Mukund Jha aurait pu contenir moins d'excuses et un peu plus de détails.
Jha a souligné que la société enquêtait toujours sur l'incident, il est donc juste de supposer que même lui, il n'a pas une image complète. Le fait que le tiers piraté reste anonyme pour le moment est également quelque peu compréhensible.
Dunzo aurait pu au moins révéler quand la violation s'est produite et comment l'entreprise en a été informée. Le nombre d'utilisateurs potentiellement affectés n'est pas non plus divulgué, ce qui signifie qu'il est impossible d'estimer la portée de l'incident. Les gens peuvent également se demander si des données de connexion ont été affectées pendant la violation. Les utilisateurs réguliers s'inscrivent en effet au service avec un mot de passe unique envoyé à leurs téléphones, mais les entreprises qui travaillent avec Dunzo s'appuient sur un système traditionnel d'authentification par nom d'utilisateur et mot de passe, et bien que la notification indique qu'aucune information de paiement n'a été exposée, il n'y avait aucune mention des identifiants de connexion.
Les détails manquants signifient qu'à ce stade, les utilisateurs ne peuvent guère faire plus qu'espérer que la violation n'est pas si grave. Ils peuvent également espérer que toute future communication concernant l'incident sera un peu plus détaillée.