超过1亿JustDial用户的个人数据被发现暴露在互联网上

公正拨号《黑客新闻》获悉并独立验证了，印度最大的本地搜索服务公司——谷歌正在实时泄露通过其网站、移动应用程序，甚至通过拨打其奇特的“888888888”客户服务号码访问该服务的每一位客户的个人身份信息。

JustDial（JD）成立于20多年前，是印度最古老、最领先的本地搜索引擎，它允许用户快速找到附近的相关供应商和各种产品和服务的供应商，同时帮助JD中列出的企业营销其产品。

独立安全研究员Rajshekhar Rajaharia昨天联系了黑客新闻，并分享了JustDial数据库中未受保护、可公开访问的API端点如何被任何人访问的细节，以查看超过1亿用户与其手机号码相关的个人资料。

泄露的数据包括JustDial用户的姓名、电子邮件、手机号码、地址、性别、出生日期、照片、职业、与之合作的公司名称；基本上，客户向公司提供的任何与个人资料相关的信息。

尽管这些未受保护的API至少在2015年年中就已经存在，但尚不清楚是否有人滥用它来收集JustDial用户的个人信息。

Justdial正在泄露所有客户的个人信息在验证了泄漏的端点后，黑客新闻还想验证API是否直接从生产服务器或备份数据库获取结果，而备份数据库可能不包含最近注册用户的信息。







为了找到这个，我提供了Rajshekhar一个以前从未在Justdial服务器上注册过的新电话号码，他确认当时数据库中没有列出这个号码。

我没有安装和使用京东应用程序或其网站，而是简单地拨打了客户服务号码，并与高管分享了一个随机姓名和个人详细信息，以了解我所在城市的几家好餐馆。

在完成通话后，Rajshekhar立即向我发送了我与JD高管共享的与之前在数据库中找不到的同一电话号码相关的个人资料详细信息，表明未受保护的API正在提供用户的实时信息。

虽然未受保护的API连接到主要JD数据库，但Rajshekhar透露，这是一个旧的API端点，该公司目前没有使用该端点，但它被遗忘在服务器上。

Rajshekhar告诉黑客新闻，他在测试最新的API时发现了这个未受保护的端点，这些API显然受到保护，并使用了身份验证措施。

除此之外，Rajshekhar还发现了其他一些未受保护的旧API，其中一个API可以允许任何人触发对任何注册电话号码的OPT请求，这可能不是一个严重的安全问题，但可以用于向用户发送垃圾邮件，并给公司造成损失。

Rajshekhar还声称，他试图联系该公司，以负责任地披露他的调查结果，但不幸的是，他没有找到任何直接联系该公司并报告事件的方式。

黑客新闻还向我们在互联网上找到的几个与该公司有关的电子邮件地址发送了一封电子邮件，提供了事件的详细信息。我们将在收到回复后更新此报告。