由于服务器端配置错误,印度家庭沙龙平台 Yes Madam 暴露了其客户和零工的敏感数据。
据该公司网站称,总部位于诺伊达的 Yes Madam 在该国 30 多个城市开展业务。该平台提供家庭沙龙服务,包括理疗、按摩、水疗和男性美容。是的,女士的移动应用程序也吸引了超过一百万的下载量。
但这家初创公司留下了一个数据库,其中包含至少自 2 月 20 日以来数十万没有密码连接到互联网的 Yes Madam 客户的全名、手机号码、邮寄地址和电子邮件地址。该数据库还包括客户的位置数据,包括他们的纬度和经度值,以及支付链接和用户设备详细信息,例如型号名称和 IMEI 号码。
此外,这家初创公司还在平台上公开了零工员工的个人资料图片、姓名和手机号码。
CloudDefense.ai的安全研究员Anurag Sen发现了暴露的数据库,并请求 TechCrunch 帮助向这家初创公司报告。
由于配置错误,任何熟悉数据库 IP 地址的人都可以仅使用他们的 Web 浏览器访问溢出数据。森说,该数据库拥有超过 900,000 名用户的条目。
是的,在 TechCrunch 提供详细信息后不久,女士于周五保护了数据库。是的,Madam 联合创始人 Mayank Arya 向 TechCrunch 证实,它已经实施了修复。
当被问及 Yes Madam 是否有技术手段(例如日志)来确定暴露的数据是否被其他人访问时,Arya 没有进一步评论。
森还向印度计算机应急响应小组 CERT-In 通报了数据泄露的情况,CERT-In 是处理该国网络安全问题的牵头机构。
印度初创公司 Yes Madam 曝光了Jagmeet Singh最初发布在TechCrunch上的客户和零工的敏感数据
原文: https://techcrunch.com/2023/03/03/yes-madam-india-data-exposed/