Dunzo-användare måste vara försiktiga efter att deras telefonnummer och e-post-ID har läckt ut

På lördag mötte Mukund Jha, CTO för en indisk leveransservice som heter Dunzo, den obestridliga uppgiften att berätta för användare att en del av deras data hade blivit utsatta. I ett blogginlägg ursäktade Jha rikligt och förklarade att hackare hade fått tillgång till telefonnumren och e-postadresserna för ett icke avslöjat antal Dunzo-användare.

Dunzo: Ett överträdelse från tredje part ledde till att användarnas data exponerades

Dunzos CTO sade att utredningen fortfarande pågår, men han påpekade att hackarna inte attackerade Dunzo själv. Servern från en tredje part som startandet fungerar med bröts och genom det lyckades skurkarna komma till en Dunzo-databas som innehöll telefonnummer och e-postadresser.

Så fort de fick veta om överträdelsen började Jha och hans team omedelbart arbeta med att säkra uppgifterna och se till att liknande incidenter inte händer i framtiden. Stegen de tog inkluderar att implementera ett system som kommer att varna dem för all misstänksam aktivitet, granska tredjeparts plugins, skärpa åtkomstkontrollpolicyn, ändra interna lösenord, rotera åtkomsttoken och uppdatera hela nätverkskonfigurationen. Mer eller mindre gjorde de alla saker ett företag borde göra efter ett dataintrång, liksom några av de saker som ett företag helst bör göra innan uppgifterna hamnar exponerade.

Dunzo var snabb att avslöja överträdelsen, men vissa av detaljerna är fortfarande okända

Jhas blogginlägg klistrades in i ett e-postmeddelande och skickades till några av Dunzos kunder. En av dessa kunder var den oberoende forskaren och cyber-säkerhetsprofessorn Niranjan Patil, som berömde Dunzo för att han var uppriktig om händelsen.

Det är verkligen bra att se ett startupföretag som har drabbats av en katastrof i cybersäkerhet erkänner hacket och avslöjar det så snabbt som möjligt. Med det sagt kan Mukund Jhas meddelande ha innehaft färre ursäkter och lite mer detaljer.

Jha påpekade att företaget fortfarande undersöker händelsen, så det är rimligt att anta att även han inte har den fullständiga bilden. Det faktum att den tredje parten som blev hackad förblir oförändrad för nu är också något förståeligt.

Dunzo kunde dock åtminstone ha avslöjat när brottet inträffade och hur företaget fick veta om det. Antalet potentiellt drabbade användare uppges inte heller, vilket innebär att det är omöjligt att uppskatta omfattningen av händelsen. Folk kanske också undrar om någon inloggningsdata påverkades under överträdelsen. Vanliga användare registrerar sig verkligen för tjänsten med ett engångslösenord som skickas till sina telefoner, men företagen som arbetar med Dunzo förlitar sig på ett traditionellt användarnamn och lösenordsautentiseringssystem, och även om meddelandet säger att ingen betalningsinformation har blivit synlig, man nämnde inte inloggningsuppgifter.

De saknade detaljerna innebär att användare just nu kan göra lite mer än hoppas att överträdelsen inte är så allvarlig. De kan också hoppas att all framtida kommunikation om händelsen kommer att vara lite mer detaljerad.