A Dunzo felhasználóknak óvatosnak kell lenniük, miután kiszáradtak a telefonszámuk és az e-mail azonosítók

Szombaton, a Mukund Jha, a Dunzo nevű indiai kézbesítő szolgálat vezetőjének, az irigylésre méltó feladattal kell szembenéznie, hogy elmondja a felhasználóknak, hogy adataik egy részét felfedték. Jha egy blogbejegyzésben bűnbocsánatot kért és elmagyarázta, hogy a hackerek hozzáférést kaptak a nem nyilvánosságra hozott Dunzo-felhasználók számához és e-mail címéhez.

Dunzo: Harmadik fél általi megsértés vezetett a felhasználók adataihoz

Dunzo műszaki vezetője szerint a nyomozás még folyamatban van, de rámutatott arra, hogy a hackerek nem támadják meg maga Dunzót. Megsértették egy harmadik fél szerverét, amelyen az indítás működik, és rajta keresztül a csalóknak sikerült eljutniuk egy telefonszámot és e-mail címet tartalmazó Dunzo adatbázishoz.

Amint megtudták a jogsértést, Jha és csapata azonnal elkezdte az adatok biztonságát és annak biztosítását, hogy hasonló események ne történjenek meg a jövőben sem. A megtett lépések között szerepel egy olyan rendszer bevezetése, amely figyelmezteti őket minden gyanús tevékenységre, harmadik fél beépülő moduljai áttekintése, a hozzáférés-vezérlő házirendek szigorítása, a belső jelszavak megváltoztatása, a hozzáférési jogkivonatok forgatása és a teljes hálózati konfiguráció frissítése. Többé-kevésbé megtették az összes dolgot, amelyet a vállalkozásnak meg kellene tennie az adatsértés következményeként, valamint néhány dolgot, amelyet a vállalkozásnak ideális esetben meg kellene tennie, még mielőtt az adatok nyilvánosságra kerülnének.

Dunzo gyorsan felfedte a jogsértést, de néhány részlet ismeretlen marad

Jha blogbejegyzését e-mailbe illesztették és elküldték a Dunzo néhány ügyfelének. Az egyik ügyfél Niranjan Patil, független kutató és kiberbiztonsági szakember volt, aki dicsérte Dunzo-t, hogy előzetesen értesült az eseményről.

Nagyon jó látni, hogy egy induló vállalkozás, amely kiberbiztonsági balesetet szenvedett, beismeri a hacket, és a lehető leggyorsabban közli azt. Ennek ellenére Mukund Jha felhívása kevesebb bocsánatkérést és egy kicsit több részletet tartalmazhatott volna.

Jha rámutatott, hogy a társaság még mindig vizsgálja az eseményt, tehát tisztességes feltételezni, hogy még a teljes képet sem kapta meg. Kicsit érthető az a tény is, hogy a harmadik fél, akit elcsaptak, egyelőre névtelen marad.

A Dunzo azonban legalább felfedhette volna, mikor történt a jogsértés, és hogy a társaság hogyan tudott erről. A potenciálisan érintett felhasználók számát szintén nem teszik közzé, ami azt jelenti, hogy lehetetlen megbecsülni az esemény terjedelmét. Lehet, hogy az emberek azon is kíváncsi, hogy a megsértés során bármilyen bejelentkezési adatot érintettek-e. A rendszeres felhasználók valóban feliratkoznak a szolgáltatásra a telefonjukra küldött egyszeri jelszóval, ám a Dunzo-val együttműködő vállalkozások egy hagyományos felhasználónév- és jelszó-hitelesítési rendszerre támaszkodnak, és bár az értesítés szerint a fizetési információk nem voltak kitéve, nem volt említés a bejelentkezési hitelesítő adatokról.

A hiányzó részletek azt jelentik, hogy ezen a ponton a felhasználók alig tudnak többet tenni, mint remélni, hogy a jogsértés nem olyan súlyos. Remélhetik azt is, hogy az esettel kapcsolatos jövőbeni kommunikáció kicsit részletesebb lesz.