Os usuários da Dunzo precisam ter cuidado depois que seus números de telefone e IDs de e-mail vazaram
No sábado, Mukund Jha, CTO de um serviço de entrega indiano chamado Dunzo, enfrentou a tarefa invejável de informar aos usuários que alguns de seus dados foram expostos. Em um post no blog, Jha se desculpou profusamente e explicou que os hackers haviam conseguido acesso aos números de telefone e endereços de e-mail de um número não revelado de usuários do Dunzo.
Dunzo: uma violação de terceiros levou à exposição dos dados dos usuários
O CTO de Dunzo disse que a investigação ainda está em andamento, mas ele apontou que os hackers não atacaram o próprio Dunzo. O servidor de terceiros com o qual a startup trabalha foi violado e, através dele, os criminosos conseguiram acessar um banco de dados Dunzo que continha números de telefone e endereços de email.
Assim que souberam da violação, Jha e sua equipe começaram imediatamente a proteger os dados e garantir que incidentes semelhantes não ocorram no futuro. As etapas adotadas incluem a implementação de um sistema que os alertará sobre qualquer atividade suspeita, a revisão de plug-ins de terceiros, o reforço das políticas de controle de acesso, a alteração de senhas internas, a rotação de tokens de acesso e a atualização de toda a configuração da rede. Mais ou menos, eles fizeram todas as coisas que uma empresa deve fazer após uma violação de dados, bem como algumas das coisas que uma empresa deve idealmente fazer antes que os dados sejam expostos.
Dunzo foi rápido em divulgar a violação, mas alguns detalhes permanecem desconhecidos
A postagem do blog de Jha foi colada em um e-mail e enviada a alguns dos clientes da Dunzo. Um desses clientes era o pesquisador independente e profissional de segurança cibernética Niranjan Patil, que elogiou Dunzo por ser sincero com o incidente.
É realmente bom ver uma empresa iniciante que sofreu uma calamidade de segurança cibernética admitir sobre o hack e divulgá-lo o mais rápido possível. Dito isto, o aviso de Mukund Jha poderia conter menos desculpas e um pouco mais de detalhes.
Jha apontou que a empresa ainda está investigando o incidente, por isso é justo supor que mesmo ele não tenha uma visão completa. O fato de que o terceiro que foi hackeado permanece sem nome por enquanto também é um pouco compreensível.
Dunzo poderia ter pelo menos divulgado, no entanto, quando a violação ocorreu e como a empresa soube disso. O número de usuários potencialmente afetados também não é divulgado, o que significa que é impossível estimar o escopo do incidente. As pessoas também podem estar se perguntando se algum dado de login foi afetado durante a violação. Os usuários regulares de fato se inscrevem no serviço com uma senha única enviada para seus telefones, mas as empresas que trabalham com a Dunzo contam com um sistema tradicional de autenticação de nome de usuário e senha e, embora a notificação diga que nenhuma informação de pagamento foi exposta, não houve menção de credenciais de login.
Os detalhes ausentes significam que, nesse ponto, os usuários podem fazer pouco mais do que esperar que a violação não seja tão séria. Eles também podem esperar que qualquer comunicação futura sobre o incidente seja um pouco mais detalhada.