Dunzo-brukere må være forsiktige etter at telefonnummer og e-post-ID-er har lekket

Lørdag ble Mukund Jha, CTO for en indisk leveringstjeneste kalt Dunzo, møtt med den uunnværlige oppgaven med å fortelle brukere at noen av dataene deres var blitt utsatt. I et blogginnlegg unnskyldte Jha voldsomt og forklarte at hackere hadde fått tilgang til telefonnumrene og e-postadressene til et ikke avslørt antall Dunzo-brukere.

Dunzo: Et brudd fra tredjepart førte til eksponering av brukernes data

Dunzos CTO sa at etterforskningen fortsatt pågår, men han påpekte at hackerne ikke angrep Dunzo selv. Serveren til en tredjepart som oppstarten jobber med ble brutt, og gjennom den klarte skurkene å komme til en Dunzo-database som inneholdt telefonnumre og e-postadresser.

Så snart de fikk vite om bruddet, begynte Jha og teamet hans umiddelbart å jobbe med å sikre dataene og sikre at lignende hendelser ikke skjer i fremtiden. Trinnene de tok inkluderer implementering av et system som vil varsle dem om mistenkelig aktivitet, gjennomgå tredjeparts plugins, stramme tilgangskontrollretningslinjer, endre interne passord, rotere tilgangstegn og oppdatere hele nettverkskonfigurasjonen. Mer eller mindre gjorde de alle tingene et selskap burde gjøre i kjølvannet av et datainnbrudd, samt noen av de tingene et selskap ideelt sett bør gjøre før dataene ender opp.

Dunzo var raskt ute med å avsløre bruddet, men noen av detaljene er fortsatt ukjente

Jhas blogginnlegg ble limt inn i en e-post og sendt til noen av Dunzos kunder. En av disse kundene var den uavhengige forskeren og nettleserprofessoren Niranjan Patil, som berømmet Dunzo for å være oppriktig om hendelsen.

Det er faktisk bra å se et oppstartsfirma som har fått en cybersecurity-ulykke, innrømmer hackingen og avslører det så raskt som mulig. Når det er sagt, kunne Mukund Jhas varsel ha inneholdt færre unnskyldninger og litt flere detaljer.

Jha påpekte at selskapet fremdeles etterforsker hendelsen, så det er rimelig å anta at til og med han ikke har det fulle bildet. At tredjeparten som ble hacket, fortsatt ikke er navngitt for nå er også noe forståelig.

Dunzo kunne imidlertid i det minste ha avslørt når bruddet skjedde og hvordan selskapet fikk vite om det. Antallet potensielt berørte brukere blir ikke opplyst, noe som betyr at det er umulig å estimere omfanget av hendelsen. Folk lurer kanskje også på om noen innloggingsdata ble påvirket under bruddet. Vanlige brukere registrerer seg faktisk for tjenesten med et engangspassord sendt til telefonene sine, men virksomhetene som jobber med Dunzo er avhengige av et tradisjonelt autentiseringssystem for brukernavn og passord, og selv om varselet sa at ingen betalingsinformasjon har blitt utsatt, det ble ikke nevnt innloggingsinformasjon.

De manglende detaljene betyr at brukere på dette tidspunktet kan gjøre noe mer enn å håpe at bruddet ikke er så alvorlig. De kan også håpe at all fremtidig kommunikasjon angående hendelsen blir litt mer detaljert.