Gli utenti di Dunzo devono fare attenzione dopo aver perso i loro numeri di telefono e ID e-mail
Sabato, Mukund Jha, CTO di un servizio di consegna indiano chiamato Dunzo, ha dovuto affrontare il compito non invidiabile di dire agli utenti che alcuni dei loro dati erano stati esposti. In un post sul blog, Jha si è scusato copiosamente e ha spiegato che gli hacker avevano ottenuto l'accesso ai numeri di telefono e agli indirizzi e-mail di un numero sconosciuto di utenti Dunzo.
Dunzo: una violazione di terze parti ha portato all'esposizione dei dati degli utenti
Il CTO di Dunzo ha dichiarato che le indagini sono ancora in corso, ma ha sottolineato che gli hacker non hanno attaccato Dunzo stesso. Il server di una terza parte con cui funziona l'avvio è stato violato e, attraverso di esso, i truffatori sono riusciti a raggiungere un database Dunzo che conteneva numeri di telefono e indirizzi e-mail.
Non appena hanno appreso della violazione, Jha e il suo team hanno immediatamente iniziato a lavorare per proteggere i dati e garantire che incidenti simili non si verifichino in futuro. I passaggi adottati comprendono l'implementazione di un sistema che li avviserà di eventuali attività sospette, la revisione dei plug-in di terze parti, il rafforzamento delle politiche di controllo degli accessi, la modifica delle password interne, la rotazione dei token di accesso e l'aggiornamento dell'intera configurazione di rete. Più o meno, hanno fatto tutto ciò che un'azienda dovrebbe fare in seguito a una violazione dei dati, nonché alcune delle cose che un'azienda dovrebbe idealmente fare prima che i dati finiscano per essere esposti.
Dunzo è stato veloce nel rivelare la violazione, ma alcuni dettagli rimangono sconosciuti
Il post sul blog di Jha è stato incollato in un'e-mail e inviato ad alcuni clienti di Dunzo. Uno di questi clienti era il ricercatore indipendente e professionista della sicurezza informatica Niranjan Patil, che ha elogiato Dunzo per essere stato in anticipo sull'incidente.
È davvero bello vedere una startup che ha subito una calamità della cybersecurity ammettere l'hack e divulgarla il più rapidamente possibile. Detto questo, l'avviso di Mukund Jha avrebbe potuto contenere meno scuse e un po 'più di dettagli.
Jha ha sottolineato che la società sta ancora indagando sull'incidente, quindi è lecito ritenere che anche lui non abbia il quadro completo. Il fatto che la terza parte che è stata hackerata rimane senza nome per ora è anche in qualche modo comprensibile.
Dunzo avrebbe potuto almeno rivelare, tuttavia, quando si è verificata la violazione e come la società ne è venuta a conoscenza. Anche il numero di utenti potenzialmente interessati non viene divulgato, il che significa che è impossibile stimare l'ambito dell'incidente. Le persone potrebbero anche chiedersi se durante la violazione siano stati interessati dati di accesso. Gli utenti regolari si iscrivono effettivamente al servizio con una password una tantum inviata ai loro telefoni, ma le aziende che lavorano con Dunzo fanno affidamento su un sistema di autenticazione tradizionale con nome utente e password e sebbene la notifica affermi che non sono state esposte informazioni di pagamento, non sono state menzionate le credenziali di accesso.
I dettagli mancanti indicano che a questo punto gli utenti possono fare poco più che sperare che la violazione non sia così grave. Possono anche sperare che qualsiasi comunicazione futura riguardante l'incidente sarà un po 'più dettagliata.