„Dunzo“ vartotojai turi būti atsargūs, kai jų telefonų ir el. Pašto ID nutekėjo

Šeštadienį Indijos pristatymo tarnybos, pavadintos „Dunzo“, techninės priežiūros vadovu Mukundu Jha susidūrė su nepriimtina užduotimi - pranešti vartotojams, kad buvo paviešinta dalis jų duomenų. Dienoraščio įraše Jha nuoširdžiai atsiprašė ir paaiškino, kad įsilaužėliai turėjo prieigą prie neatskleidžiamo „Dunzo“ vartotojų telefono ir el. Pašto adresų.

„Dunzo“: Dėl trečiosios šalies padaryto pažeidimo buvo atskleisti vartotojų duomenys

Dunzo CTO teigė, kad tyrimas vis dar tęsiasi, tačiau jis vis dėlto atkreipė dėmesį, kad įsilaužėliai neužpuolė paties Dunzo. Buvo pažeistas trečiosios šalies serveris, su kuriuo dirba paleisdamas, ir per jį sukčiams pavyko patekti į „Dunzo“ duomenų bazę, kurioje buvo telefono numeriai ir el. Pašto adresai.

Vos sužinoję apie pažeidimą, Jha ir jo komanda iškart pradėjo saugoti duomenis ir užtikrinti, kad panašių incidentų ateityje neatsitiks. Jų žingsniai buvo sistemos, kuri įspės juos apie bet kokią įtartiną veiklą, diegimas, trečiųjų šalių įskiepių peržiūra, prieigos kontrolės politikos sugriežtinimas, vidinių slaptažodžių keitimas, prieigos raktų pasukimas ir visos tinklo konfigūracijos atnaujinimas. Beveik ar mažiau jie padarė visus dalykus, kuriuos įmonė turėtų padaryti pažeisdama duomenis, taip pat kai kuriuos dalykus, kuriuos įmonė turėtų daryti idealiai, kol duomenys nebus paviešinti.

„Dunzo“ greitai atskleidė pažeidimą, tačiau kai kurios detalės liko nežinomos

Jha dienoraščio įrašas buvo įklijuotas į el. Laišką ir išsiųstas kai kuriems „Dunzo“ klientams. Vienas iš tokių klientų buvo nepriklausomas tyrėjas ir kibernetinio saugumo profesionalas Niranjanas Patilas, kuris gyrė „ Dunzo“ už tai, kad iš anksto pranešė apie įvykį.

Išties gerai, kai pradedančioji įmonė, patyrusi kibernetinio saugumo katastrofą, prisipažįsta apie įsilaužimą ir kuo greičiau jį atskleidžia. Atsižvelgiant į tai, Mukund Jha pranešime galėjo būti mažiau atsiprašymo ir šiek tiek daugiau informacijos.

Jha atkreipė dėmesį, kad įmonė vis dar tiria šį įvykį, todėl teisinga manyti, kad net ir jis neturi visiško vaizdo. Tai, kad nulaužta trečioji šalis kol kas lieka bevardė, taip pat yra šiek tiek suprantama.

Tačiau „Dunzo“ galėjo bent jau atskleisti, kada įvyko pažeidimas ir kaip įmonė apie tai sužinojo. Neatskleidžiamas galimai nukentėjusių vartotojų skaičius, o tai reiškia, kad neįmanoma įvertinti incidento apimties. Žmonėms taip pat gali būti įdomu, ar pažeidimas turėjo įtakos prisijungimo duomenims. Nuolatiniai vartotojai iš tikrųjų prisiregistruoja naudotis šia paslauga naudodamiesi vienkartiniu slaptažodžiu, siunčiamu į savo telefonus, tačiau įmonės, kurios dirba su „Dunzo“, remiasi tradicine vartotojo vardo ir slaptažodžio autentifikavimo sistema, ir nors pranešime teigiama, kad jokia mokėjimo informacija nebuvo atskleista, nebuvo paminėti prisijungimo duomenys.

Trūkstamos informacijos reiškia, kad šiuo metu vartotojai gali padaryti ne ką daugiau, nei tikėtis, kad pažeidimas nebus toks rimtas. Jie taip pat gali tikėtis, kad bet kokia būsima komunikacija dėl įvykio bus šiek tiek išsamesnė.