Dunzo, una de las aplicaciones de entrega hiperlocal más populares de la India, financiada por Google, dijo en la última ruptura del incidente de seguridad cibernética, los números de teléfono y las direcciones de correo electrónico de los usuarios se vieron comprometidos.
Los atacantes se comprometieron en los servidores de un tercero con el que Dunzo trabaja y lograron acceder a la base de datos Dunzo a través de ellos. Si bien las credenciales de la información de pago, es decir, los detalles de la tarjeta de crédito de los usuarios no se vieron comprometidas ni tampoco las contraseñas, ya que Dunzo utiliza OTP, no está claro si las direcciones de correo electrónico de todos los usuarios se han visto comprometidas o solo algunas de ellas.
En cuanto a los datos de la tarjeta de crédito que fueron robados, la compañía aclaró que no almacena estos datos de usuario en sus servidores. La compañía dijo que notificó a los clientes sobre la violación a través de un correo electrónico personal y que no recomendó no cambiar las contraseñas. Para aquellos usuarios, que se perdieron la comunicación por correo electrónico de Dunzo y el mensaje no se entregó a su Bandeja de entrada, la empresa ha puesto a disposición del público la información. en su blog.
Si bien Dunzo no reveló el nombre del proveedor (los detalles de terceros), sigue existiendo un riesgo si el proveedor en cuestión no estaba trabajando exclusivamente con Dunzo, entonces otras bases de datos de usuarios también podrían haberse visto comprometidas.
¿Cómo y por qué Dunzo dio acceso a la base de datos de usuarios a un proveedor externo?
Si bien se plantean preguntas sobre por qué Dunzo permitió el acceso a los datos privados del usuario a un proveedor externo, es importante tener en cuenta que los datos están comprometidos: las direcciones de correo electrónico y los números de teléfono son detalles de los usuarios que no cambian con frecuencia. Estos datos se pueden usar para ataques de phishing por voz, texto y correo electrónico.
Muchas compañías son conocidas por ocultar fallas de seguridad y violaciones de ciberseguridad, pero Dunzo, en este caso, reconoció la laguna y asumió la responsabilidad total del incidente de compromiso de datos.
¿Qué más crees que Dunzo podría haber hecho para salvar un poco de piel y mejorar la situación, para garantizar que los datos no se compartieran en primer lugar con proveedores externos, permitiendo así un compromiso en las credenciales de datos del usuario más adelante?
A medida que se desarrolla la historia, algunos usuarios han intentado iniciar sesión en su cuenta de Dunzo para cambiar el número de móvil, las direcciones de correo electrónico y tal vez eliminar su cuenta permanentemente del sistema, pero por alguna razón desconocida, la eliminación de la cuenta tampoco funciona.
Al compartir esta información de violación de ciberseguridad con los usuarios solo después de una investigación exhaustiva, Dunzo dijo que ha contratado a firmas líderes de ciberseguridad para fortalecer su marco de seguridad.
Dynamic professional with a unique combination of technical expertise and business acumen. Progressive specialization in the management of independent profit centers and management of own companies. Exploring disruptive innovations in bespoke user experience and I love writing tech articles.