Shipyaari是一家总部位于孟买的软件公司,为主要消费品牌提供航运物流服务,由于长达数月的内部货运信息泄露,其数千名客户的个人数据被泄露。
安全研究员Ashutosh Barot发现的暴露数据包括 Shipyaari 客户的姓名、地址、电话号码、订单发票金额和交货状态。根据 Barot 的说法,Shipyaari 的客户跟踪页面没有密码保护,任何拥有该网址的人都可以查看。
Barot 告诉 TechCrunch:“暴露的信息以后可用于执行有针对性的社会工程攻击和金融欺诈。”
研究人员最初于 2021 年 10 月就此次曝光与 Shipyaari 联系,该公司承诺在 12 月进行修复。进行了一些更改,但没有修复曝光。在 TechCrunch 与安全事件联系后,它最终在 7 月下旬得到修复。
“我感谢 Shipyaari 解决问题并实施建议,”巴罗特说。
Shipyaari 通过从跟踪页面中删除客户的个人身份信息 (PII) 并使用一次性 PIN (OTP) 系统限制其访问来修复风险。它后来更新了系统以限制不良行为者发起自动攻击。
Shipyaari 的创始人 Vishal Totla 在回复 TechCrunch 的电子邮件中表示:“数据隐私对我们来说至关重要,我们将确保未来不会发生此类情况。”
Totla 表示,客户 PII 数据在加载时将不再显示在页面上。
Shipyaari 声称每天处理超过 5,000 批货物。该公司还在全国拥有超过 6,000 名活跃卖家。
Barot 强调,印度需要强有力的数据隐私法来帮助限制越来越多的数据暴露和泄露事件。
本月早些时候,印度政府撤回了期待已久的个人数据保护法案,该法案旨在制定严格的规则以帮助保护其公民的隐私。该立法令科技巨头感到震惊,并引发了对他们如何管理敏感用户信息的担忧。
原文: https://techcrunch.com/2022/08/16/shipyaari-customer-data-exposed/