Dunzoユーザーは、電話番号と電子メールIDが漏洩した後は注意する必要があります

土曜日に、インドの配達サービスであるDunzoのCTOであるMukund Jhaは、データの一部が公開されたことをユーザーに伝えるといううらやましい仕事に直面しました。 Jha はブログ投稿で 、謝罪し、ハッカーが非公開のDunzoユーザーの電話番号とメールアドレスにアクセスしたことを説明しました。

Dunzo：サードパーティの違反により、ユーザーのデータが漏洩する

DunzoのCTOは調査はまだ進行中であると述べましたが、ハッカーはDunzo自体を攻撃しなかったと指摘しました。スタートアップが協力しているサードパーティのサーバーが侵害され、そこから詐欺師がなんとか電話番号とメールアドレスを含むDunzoデータベースに到達した。

Jhaと彼のチームは、違反について知るとすぐに、データのセキュリティ保護と、今後同様のインシデントが発生しないようにする作業に取り組み始めました。彼らが取った手順には、不審なアクティビティを警告するシステムの実装、サードパーティのプラグインの確認、アクセス制御ポリシーの強化、内部パスワードの変更、アクセストークンのローテーション、ネットワーク構成全体の更新が含まれます。データ侵害が発生した後、企業がすべきことはすべてやっていましたが、データが公開される前に企業が理想的にすべきこともいくつかありました。

Dunzoは違反を迅速に開示しましたが、詳細の一部は不明のままです

Jhaのブログ投稿はメールに貼り付けられ、Dunzoの顧客の一部に送信されました。それらの顧客の1人は、独立した研究者でサイバーセキュリティの専門家であるNiranjan Patilで、Dunzoが事件について前向きであると賞賛しました。

サイバーセキュリティの大惨事に見舞われた新興企業がハッキングについて認め、できるだけ早くそれを開示するのを見るのは確かに良いことです。とはいえ、ムクンドジャーの通知には、謝罪の数が少なく、詳細が少し含まれている可能性があります。

Jhaは同社がまだ事件を調査中であることを指摘したので、彼でさえ全体像を把握していないと推測するのは当然だ。ハッキングされた第三者が今のところ無名のままであることもある程度理解できます。

しかし、Dunzoは少なくとも、侵害が発生したときと、会社がそれについてどのように知ったかを明らかにできたはずです。影響を受ける可能性のあるユーザーの数も開示されていないため、インシデントの範囲を推定することは不可能です。違反の際にログインデータが影響を受けたかどうかも疑問に思われるかもしれません。正規ユーザーは確かに電話に送信されたワンタイムパスワードを使用してサービスにサインアップしますが、Dunzoと連携する企業は従来のユーザー名とパスワード認証システムに依存しています。ログイン資格情報についての言及はありませんでした。

詳細が欠けているということは、現時点では、ユーザーは侵害がそれほど深刻ではないと期待する以上のことはできないということです。彼らはまた、事件に関する今後のコミュニケーションがもう少し詳細になることを期待できます。