Dunzo-gebruikers moeten voorzichtig zijn nadat hun telefoonnummers en e-mail-ID's zijn gelekt

Zaterdag stond Mukund Jha, de CTO van een Indiase bezorgdienst genaamd Dunzo, voor de niet benijdenswaardige taak om gebruikers te vertellen dat sommige van hun gegevens waren blootgesteld. In een blogpost bood Jha zijn excuses aan en legde uit dat hackers toegang hadden gekregen tot de telefoonnummers en e-mailadressen van een niet bekendgemaakt aantal Dunzo-gebruikers.

Dunzo: een inbreuk van een derde partij heeft geleid tot de blootstelling van gebruikersgegevens

De CTO van Dunzo zei dat het onderzoek nog steeds loopt, maar hij wees er wel op dat de hackers Dunzo zelf niet hebben aangevallen. De server van een derde partij waarmee de startup werkt, werd doorbroken en daardoor bereikten de oplichters een Dunzo-database met telefoonnummers en e-mailadressen.

Zodra ze hoorden van de inbreuk, begonnen Jha en zijn team onmiddellijk aan het beveiligen van de gegevens en ervoor te zorgen dat soortgelijke incidenten in de toekomst niet meer zouden gebeuren. De stappen die ze hebben genomen, zijn onder meer het implementeren van een systeem dat hen op de hoogte stelt van verdachte activiteiten, het bekijken van plug-ins van derden, het aanscherpen van het beleid voor toegangscontrole, het wijzigen van interne wachtwoorden, het roteren van toegangstokens en het bijwerken van de volledige netwerkconfiguratie. Ze deden min of meer alles wat een bedrijf zou moeten doen in de nasleep van een datalek, evenals enkele dingen die een bedrijf idealiter moet doen voordat de gegevens zichtbaar worden.

Dunzo maakte de breuk snel bekend, maar sommige details blijven onbekend

De blogpost van Jha is in een e-mail geplakt en naar enkele klanten van Dunzo gestuurd. Een van die klanten was onafhankelijk onderzoeker en cybersecurity-professional Niranjan Patil, die Dunzo prees omdat hij openhartig was over het incident.

Het is inderdaad goed om te zien dat een startend bedrijf dat een cybersecurity-ramp heeft meegemaakt, de hack toegeeft en deze zo snel mogelijk bekendmaakt. Dat gezegd hebbende, had het bericht van Mukund Jha minder excuses en wat meer details kunnen bevatten.

Jha wees erop dat het bedrijf het incident nog steeds onderzoekt, dus het is redelijk om aan te nemen dat zelfs hij niet het volledige beeld heeft. Het feit dat de derde partij die is gehackt voorlopig niet bij naam blijft, is ook enigszins begrijpelijk.

Dunzo had echter op zijn minst kunnen onthullen wanneer de inbreuk plaatsvond en hoe het bedrijf erover hoorde. Het aantal mogelijk getroffen gebruikers wordt ook niet bekendgemaakt, wat betekent dat het onmogelijk is om de omvang van het incident in te schatten. Mensen vragen zich misschien ook af of er tijdens de inbreuk inloggegevens zijn aangetast. Vaste gebruikers melden zich inderdaad aan voor de service met een eenmalig wachtwoord dat naar hun telefoons wordt gestuurd, maar de bedrijven die met Dunzo werken, vertrouwen op een traditioneel gebruikersnaam- en wachtwoordverificatiesysteem, en hoewel de melding zei dat er geen betalingsinformatie is vrijgegeven, er werd geen melding gemaakt van inloggegevens.

Door de ontbrekende details kunnen gebruikers op dit moment niet veel meer doen dan hopen dat de inbreuk niet zo ernstig is. Ze kunnen ook hopen dat toekomstige communicatie over het incident wat gedetailleerder zal zijn.