WeWork India 修复了一个数据安全漏洞,该漏洞将数以万计访问 WeWork India 联合办公空间的人的个人信息和自拍照暴露在互联网上。
安全研究员Sandeep Hodkasia发现访问者数据从 WeWork India 网站上的签到应用程序溢出,并用于在全国数十个 WeWork India 地点登录。该应用程序中的一个错误意味着可以通过将用户的连续用户 ID 增加或减少一位数来访问任何访客的签到记录。
由于签到工具是面向互联网的,该漏洞允许互联网上的任何人循环浏览数千条记录,暴露姓名、电话号码、电子邮件地址和自拍照。 Hodkasia 说,没有明显或明显的控制措施来防止有人大量访问数据。
没有任何数据被加密。
Hodkasia 向 TechCrunch 描述了该漏洞,TechCrunch 复制并证实了他的发现,并将信息传递给 WeWork India。
当通过电子邮件联系到 WeWork 印度发言人 Apoorva Verma 时,证实其网站“存在允许无意访问基本访客信息的错误”。在 TechCrunch 联系该公司后不久,该签到应用程序就从网站上撤下了。根据 Verma 的说法,WeWork India 正在“过渡我们的网站”,并且其最近的变化“减轻了”曝光率。
目前尚不清楚有多少访问者的信息被暴露或暴露了多长时间。
当被问及是否有任何计划通知信息被曝光的人时,WeWork 印度发言人 Sweta Nair 没有说。 (印度新的数据泄露报告规则要求公司在发现数据泄露事件后六小时内通知当局,但由于该规则的推出延迟,该规则尚未生效。)
在过去的一年里,WeWork India 加入了众多印度公司和组织的行列,这些公司和组织因网络安全方面的失误而陷入困境。在 2020 年 COVID-19 大流行高峰期间,印度最大的细胞网络 Jio 在其网站上公开了一个包含冠状病毒自检症状检查器结果的数据库。今年早些时候,印度中央工业安全部队将一个包含网络日志的数据库暴露在互联网上,允许任何人直接访问 CISF 内部网络上的内部文件。并且,在 6 月,由于 PM-Kisan 政府机构的安全漏洞,TechCrunch 报道了可能涉及数百万印度农民的 Aadhaar 数据的最新泄漏。
阅读更多:
要与安全台取得联系,您可以在 Signal 上发送消息,电话 +1 646-755-8849 或通过电子邮件发送电子邮件至 [email protected]。
原文: https://techcrunch.com/2022/07/04/wework-exposed-visitors-data/