WeWork India Coworking naprawił lukę w zabezpieczeniach, która naraziła na szwank dane osobowe i selfie. Dziesiątki tysięcy osób, które odwiedziły przestrzenie coworkingowe WeWork India zagrożone.
Badacz bezpieczeństwa Sandeep Hodkasia znalazł dane gości wyciekające z aplikacji check-in na stronie WeWork India. Aplikacji używanej przez odwiedzających do logowania się w dziesiątkach lokalizacji WeWork India w całym kraju. Błąd w aplikacji oznaczał, że można było uzyskać dostęp do rekordu zameldowania każdego gościa. Odbywało się to poprzez zwiększenie lub zmniejszenie sekwencyjnego identyfikatora użytkownika o jedną cyfrę.
Ponieważ narzędzie zameldowania skierowaliśmy do Internetu, błąd pozwolił każdemu w Internecie do sprawdzenia tysięcy rekordów. Rekordów zawierających nazwiska, numery telefonów, adresy e-mail i selfies. Hodkasia powiedziała, że nie było żadnych oczywistych kontroli w miejscu, aby zapobiec komuś z dostępem do danych masowo.
Polecane artykuły:
WeWork India Coworking – Nikt nie szyfrował danych
Hodkasia opisał błąd TechCrunchowi, który zreplikował i potwierdził jego ustalenia, a następnie przekazał informacje do WeWork India.
Po osiągnięciu przez e-mail, rzecznik WeWork India Apoorva Verma potwierdził doniesienia. Strona firmy “miała błąd, który pozwolił na niezamierzony dostęp do podstawowych informacji o odwiedzających”. Aplikacja check-in ściągnięto ze strony internetowej wkrótce po tym, jak TechCrunch skontaktował się z firmą. Według Verma, WeWork India jest “w trakcie transformacji naszej strony internetowej” i że jej ostatnie zmiany “złagodziły” ekspozycję.
Nie wiadomo dokładnie, ile informacji o odwiedzających było narażonych na atak ani jak długo.
Na pytanie, czy są jakieś plany, aby powiadomić tych, których informacje zostały narażone, rzecznik WeWork India Sweta Nair nie powiedział. (Nowe indyjskie przepisy dotyczące zgłaszania naruszeń danych, które wymagają od firm powiadamiania władz o naruszeniu danych. Poinformowanie następuje w ciągu sześciu godzin od ich odkrycia, nie weszły jeszcze w życie po opóźnieniu we wprowadzeniu przepisów).
WeWork India Coworking dołącza do rzeszy indyjskich firm i organizacji, które w zeszłym roku dotknięto luką w bezpieczeństwie cybernetycznym. W 2020 r., podczas szczytu pandemii COVID-19, największa indyjska sieć komórkowa Jio ujawniła na swojej stronie internetowej bazę danych zawierającą wyniki autotestu na obecność koronawirusa. W wyniku tego na początku tego roku, indyjskie Centralne Siły Bezpieczeństwa Przemysłowego pozostawiły bazę danych wypełnioną logami sieciowymi wystawioną na działanie internetu, umożliwiając każdemu bezpośredni dostęp do wewnętrznych plików w sieci wewnętrznej CISF. Z tego powodu w czerwcu TechCrunch poinformował o najnowszym wycieku numerów Aadhaar, który dotyczył potencjalnie milionów indyjskich rolników, dzięki luce w zabezpieczeniach agencji rządowej PM-Kisan.
Historia toczy się dalej.
Artykuły na temat podatków:
Podatek – rodzaje deklaracji PIT
Czy podatek może się przedawnić ?
Zmiana zasad poboru zaliczek – podatek PIT
Użyczenie nieruchomości a podatek VAT
Podatek liniowy – czy to się opłaca?