Пользователи Dunzo должны быть осторожны после утечки их телефонных номеров и идентификаторов электронной почты

В субботу Mukund Jha, технический директор индийской службы доставки под названием Dunzo, столкнулся с незавидной задачей сообщить пользователям, что некоторые их данные были раскрыты. В своем блоге Джа обильно извинился и объяснил, что хакеры получили доступ к телефонным номерам и адресам электронной почты неизвестного числа пользователей Dunzo.

Dunzo: нарушение прав третьих лиц привело к раскрытию данных пользователей

Технический директор Dunzo сказал, что расследование все еще продолжается, но он отметил, что хакеры не атаковали Dunzo. Сервер третьей стороны, с которым работает стартап, был взломан, и через него мошенникам удалось получить доступ к базе данных Dunzo, которая содержала номера телефонов и адреса электронной почты.

Как только они узнали о нарушении, Джа и его команда немедленно начали работу по защите данных и предотвращению повторения подобных инцидентов в будущем. Предпринятые ими шаги включают внедрение системы, которая будет предупреждать их о любых подозрительных действиях, проверку сторонних плагинов, ужесточение политик контроля доступа, изменение внутренних паролей, ротацию токенов доступа и обновление всей конфигурации сети. Более или менее, они сделали все, что компания должна сделать после взлома данных, а также некоторые вещи, которые компания должна сделать в идеале, прежде чем данные будут обнародованы.

Дунзо быстро обнаружил нарушение, но некоторые детали остаются неизвестными

Сообщение в блоге Jha было вставлено в электронное письмо и отправлено некоторым клиентам Dunzo. Одним из таких клиентов был независимый исследователь и специалист по кибербезопасности Ниранджан Патил, который похвалил Дунзо за то, что он был искренним в этом инциденте.

Действительно хорошо видеть, что начинающая компания, которая пострадала от кибербезопасности, призналась в этом взломе и раскрыла его как можно быстрее. Тем не менее, уведомление Мукунда Джа могло содержать меньше извинений и немного больше деталей.

Джа отметил, что компания все еще расследует инцидент, поэтому справедливо предположить, что даже он не имеет полной картины. Тот факт, что взломанная третья сторона пока остается неназванным, также вполне понятен.

Однако Дунзо мог, по крайней мере, сообщить, когда произошло нарушение и как компания узнала об этом. Количество потенциально затронутых пользователей также не разглашается, что означает, что невозможно оценить масштаб инцидента. Люди могут также задаться вопросом, были ли затронуты какие-либо данные для входа во время взлома. Обычные пользователи действительно подписываются на услугу с одноразовым паролем, отправляемым на их телефоны, но компании, которые работают с Dunzo, полагаются на традиционную систему аутентификации имени пользователя и пароля, и хотя в уведомлении говорится, что информация об оплате не была раскрыта, не было никакого упоминания учетных данных для входа.

Недостающие детали означают, что на данный момент пользователи могут сделать немного больше, чем надеяться, что нарушение не настолько серьезно. Они также могут надеяться, что любое будущее сообщение об инциденте будет немного более подробным.