电话号码和电子邮件ID泄露后,Dunzo用户需要小心
周六,印度快递服务公司Dunzo的首席技术官Mukund Jha面临着令人羡慕的任务:告诉用户他们的某些数据已经被泄露。贾(Jha)在博客中道歉,并解释说,黑客已经获得了未披露数量的Dunzo用户的电话号码和电子邮件地址。
Dunzo:第三方违规导致用户数据泄露
Dunzo的首席技术官表示,调查仍在进行中,但他确实指出,黑客并未攻击Dunzo本身。该初创公司与之合作的第三方服务器遭到破坏,并且通过它,骗子设法进入包含电话号码和电子邮件地址的Dunzo数据库。
一旦得知漏洞,Jha和他的团队便立即开始致力于保护数据安全,并确保以后不会再发生类似事件。他们采取的步骤包括实施一个系统,该系统将向他们发出任何可疑活动的警报,审阅第三方插件,加强访问控制策略,更改内部密码,旋转访问令牌以及更新整个网络配置。他们或多或少地完成了数据泄露后公司应该做的所有事情,以及公司在数据最终暴露之前理想地应该做的一些事情。
Dunzo很快就披露了该违规行为,但其中一些细节仍然未知
Jha的博客文章粘贴在电子邮件中,并发送给了Dunzo的一些客户。其中一位客户是独立研究人员和网络安全专业人士Niranjan Patil,他赞扬 Dunzo在事件发生前表现出众。
看到遭受网络安全灾难的初创公司承认黑客入侵并尽快将其披露,确实是一件好事。话虽如此,Mukund Jha的通知本可以包含较少的道歉和更多的细节。
贾(Jha)确实指出该公司仍在调查此事,因此可以公平地假设即使他还没有掌握全部情况。被黑客入侵的第三方目前仍未命名的事实在某种程度上也是可以理解的。
但是,Dunzo至少可以披露泄露发生的时间以及该公司如何得知的。潜在受影响的用户数量也未披露,这意味着无法估计事件的范围。人们可能还想知道在破坏期间是否有任何登录数据受到影响。常规用户确实确实使用发送到手机的一次性密码来注册该服务,但是与Dunzo合作的企业依赖于传统的用户名和密码身份验证系统,尽管该通知指出没有公开付款信息,没有提及登录凭据。
缺少详细信息意味着,在这一点上,用户所能做的仅是希望违规行为没有那么严重。他们还希望以后有关此事件的任何通讯都会更加详细。