Поисковик раскрыл данные 100 млн пользователей

Выявлена серьезная брешь в системе безопасности индийской поисковой системы JastDial. Через незащищенный интерфейс API были доступные пользовательские данные более 100 млн человек, сообщает портал Inc42.com.

Утечку выявил исследователь безопасности Раджшехар Раджахария (Rajshekhar Rajaharia). «Соединение между приложением JustDial и его базой данных не защищено, что делает миллионы пользовательских данных уязвимыми», - отметил специалист. По его словам, данные через открытые API могли быть доступны с середины 2015 г. О своей находке исследователь сообщил в Facebook, приложив к своему посту скриншоты, на которых видно, какие данные можно было почерпнуть из системы.

Из базы данных поисковика через URL-адрес была доступна такая информация, как имена пользователей, адреса электронной почты, номера мобильных телефонов, гендерная принадлежность, домашние адреса, фотографии, сведения о работе, род деятельности. Кроме того, JustDial сохранял историю поисковых запросов – на ее основе рекламодатели могли формулировать целевые предложения без согласия пользователей.

В разговоре с корреспондентом Inc.42.com старший архитектор базы данных JastDial Раджив Наир (Rajeev Nair) заявил, что исследование системы на протяжении двух-трех дней пока не выявило уязвимостей.

Раджахария говорит, что в индийском законодательстве нет ответственности за доступ к конфиденциальной информации через открытые API. В таком случае в утечке данных виновата сама компания, подчеркнул исследователь.