Una base de datos sin protección perteneciente a JustDial, el servicio de búsqueda local más grande la India, filtró la información de identificación personal de todos sus clientes en tiempo real que accedieron al servicio por medio de su sitio web, aplicación móvil o incluso llamando a su número «88888 88888».
Fundada hace más de 20 años, JustDial (JD) es el motor de búsqueda local más antiguo y líder de la India, que permite a los usuarios encontrar proveedores cercanos relevantes de diversos productos y servicios de manera rápida, al mismo tiempo que ayuda a las empresas que figuran en JD a comercializar sus ofertas.
Rajshekhar Rajaharia, investigador de seguridad independiente, contactó a The Hacker News y compartió información sobre cómo cualquier puede acceder a un extremo API desprotegido y accesible al público de la base de datos de JustDial para ver información de perfil de más de 100 millones de usuarios asociados con sus números móviles.
Los datos filtrados incluyen el nombre de de los usuarios de JustDial, el correo electrónico, el número de teléfono móvil, la dirección, el sexo, la fecha de nacimiento, la foto, ocupación, nombre de la empresa con la que están trabajando básicamente cualquier información relacionada con el perfil que un cliente haya proporcionado a la empresa.
Aunque las API no protegidas existen al menos desde mediados de 2015, no está claro si alguien las ha utilizado indebidamente para recopilar información personal sobre los usuarios de JustDial.
JustDial pierde los datos personales de todos sus clientes
Luego de verificar el punto final con fugas, THN también quiso verificar si la API está obteniendo resultados directamente desde el servidor de producción o desde una base de datos de respaldo que podría no tener información que pertenezca a usuarios registrados recientemente.
Rajshekhar afirmó que trató de ponerse en contacto con la compañía para divulgar sus hallazgos de forma responsable, pero lamentablemente no encontró ninguna forma directa de comunicarse con la compañía.
