Użytkownicy Dunzo muszą zachować ostrożność, gdy wyciekły ich numery telefonów i identyfikatory e-mail

W sobotę Mukund Jha, CTO indyjskiej firmy kurierskiej o nazwie Dunzo, stanął przed niemożliwym do wykonania zadaniem poinformowania użytkowników, że niektóre z ich danych zostały ujawnione. W poście na blogu Jha obficie przeprosił i wyjaśnił, że hakerzy uzyskali dostęp do numerów telefonów i adresów e-mail nieujawnionej liczby użytkowników Dunzo.

Dunzo: Naruszenie przez osobę trzecią doprowadziło do ujawnienia danych użytkowników

CTO Dunzo powiedział, że śledztwo wciąż trwa, ale zauważył, że hakerzy nie zaatakowali samego Dunzo. Serwer strony trzeciej, z którym współpracuje startup, został naruszony, a dzięki nim oszustom udało się dostać do bazy danych Dunzo, która zawierała numery telefonów i adresy e-mail.

Gdy tylko dowiedzieli się o naruszeniu, Jha i jego zespół natychmiast rozpoczęli prace nad zabezpieczeniem danych i dopilnowaniem, aby podobne incydenty nie miały miejsca w przyszłości. Kroki, które podjęli, obejmują wdrożenie systemu, który ostrzega ich przed wszelkimi podejrzanymi działaniami, przeglądanie wtyczek firm trzecich, zaostrzanie zasad kontroli dostępu, zmianę wewnętrznych haseł, obracanie tokenów dostępu i aktualizację całej konfiguracji sieci. Mniej więcej robili wszystko, co firma powinna zrobić po naruszeniu danych, a także niektóre rzeczy, które firma powinna idealnie zrobić, zanim dane zostaną ujawnione.

Dunzo szybko ujawnił naruszenie, ale niektóre szczegóły pozostają nieznane

Wpis Jha na blogu został wklejony w e-mailu i wysłany do niektórych klientów Dunzo. Jednym z tych klientów był niezależny badacz i specjalista ds. Cyberbezpieczeństwa Niranjan Patil, który pochwalił Dunzo za szczerość w związku z tym incydentem.

Naprawdę dobrze jest zobaczyć firmę start-up, która ucierpiała z powodu cyberbezpieczeństwa, przyznającą się do włamania i ujawnić ją tak szybko, jak to możliwe. To powiedziawszy, zawiadomienie Mukunda Jha mogło zawierać mniej przeprosin i nieco więcej szczegółów.

Jha zwrócił uwagę, że firma nadal bada ten incydent, więc można założyć, że nawet on nie ma pełnego obrazu. Fakt, że trzecia strona, która została zaatakowana przez hakera, pozostaje na razie nieznana, jest również nieco zrozumiały.

Dunzo mógł jednak przynajmniej ujawnić, kiedy doszło do naruszenia i jak firma się o tym dowiedziała. Liczba potencjalnie dotkniętych użytkowników również nie jest ujawniana, co oznacza, że niemożliwe jest oszacowanie zakresu incydentu. Ludzie mogą się również zastanawiać, czy dane naruszone zostały podczas logowania. Zwykli użytkownicy rzeczywiście rejestrują się w usłudze za pomocą jednorazowego hasła wysłanego na swój telefon, ale firmy współpracujące z Dunzo polegają na tradycyjnym systemie uwierzytelniania nazwy użytkownika i hasła i chociaż powiadomienie mówi, że nie ujawniono żadnych informacji o płatnościach, nie wspomniano o danych logowania.

Brakujące szczegóły oznaczają, że w tym momencie użytkownicy mogą zrobić niewiele więcej niż mieć nadzieję, że naruszenie nie będzie aż tak poważne. Mogą też mieć nadzieję, że każda przyszła komunikacja dotycząca tego incydentu będzie nieco bardziej szczegółowa.