वेरो मोडा, जैक और जोन्स, बेस्टसेलर साइट की बग ने जोखिम में उपयोगकर्ता डेटा डाला था

[ad_1]

वेरो मोडा, जैक और जोन्स, केवल, और अन्य बेस्टसेलर इंडिया वेबसाइटों में एक सुरक्षा दोष था जिसने उपयोगकर्ता के खातों को किसी ऐसे व्यक्ति द्वारा अपहरण करने की अनुमति दी थी जो केवल साइन अप करने के लिए उपयोग की गई ईमेल आईडी को जानते थे। यह बदले में उपयोगकर्ता की डिलीवरी पते, उनका पूरा नाम और फोन नंबर, और साइटों के साथ किसी भी बचाया क्रेडिट जैसी जानकारी को उजागर करेगा। यद्यपि यह जानकारी आपको चिंतित नहीं कर सकती है, इस तरह के डेटा वास्तव में अत्यधिक मूल्यवान हैं, और ऐसी जानकारी का उपयोग अक्सर फ़िशिंग हमलों में एक वास्तविक व्यवसाय को लागू करने और आपके पैसे से बाहर निकालने के लिए किया जाता है। गैजेट्स 360 ने कंपनी के साथ इस मुद्दे को उठाया – सुरक्षा शोधकर्ता के एक पूरे साल बाद – दोष आखिरकार तय हो गया था, इसलिए ग्राहकों का डेटा अब सुलभ नहीं है, लेकिन कंपनी ने इस बारे में कोई विवरण साझा नहीं किया है कि ग्राहक डेटा कितने समय तक जोखिम में था ।

सुरक्षा शोधकर्ता सायान आलम ने सितंबर 2019 में कंपनी के अधिकारियों को लिखा। उस समय, आलम ने कंपनी के सीईओ को ट्वीट किया और ईमेल भेजने के लिए कहा गया। तब आलम ने कंपनी के सीईओ को इस मुद्दे की एक रिपोर्ट भेजी, और एक प्राप्त किया कलरव वेरो मोडा इंडिया के खाते के जवाब में, जिसमें कहा गया था कि इसे “संबंधित टीम को भेज दिया गया है।”

गैजेट्स 360 द्वारा समीक्षा किए गए ईमेल में, आलम ने बताया कि वह सुरक्षा परीक्षण कर रहा था और उसे एक बग मिला, जो वेरो मोडा, जैक और जोन्स और ओनली इंडिया के लिए खातों के अधिग्रहण की अनुमति दे सकता था। उन्होंने कंपनी के सीटीओ से जुड़े रहने के लिए कहा।

एक साल से अधिक समय बाद, आलम ने कहा कि उन्हें कंपनी से कोई और जानकारी नहीं मिली है, जबकि बग सक्रिय रहा। दिसंबर में, आलम ने गैजेट्स 360 से संपर्क किया, और एक गुप्त विवरण के साथ एक डमी खाता बनाकर, हम इस बात की पुष्टि करने में सक्षम थे कि आलम वास्तव में एक खाता संभाल सकता है अगर उसे ईमेल आईडी के बारे में पता होता है।

यह देखते हुए कि ईमेल आईडी का व्यापक रूप से उपयोग कैसे किया जाता है, किसी के लिए किसी की ईमेल आईडी प्राप्त करना मुश्किल नहीं होगा, और फिर इसके माध्यम से किसी व्यक्ति के घर के पते की तरह अन्य विवरण प्राप्त करें, उनकी सुरक्षा और सुरक्षा से समझौता करें।

गैजेट्स 360 के साथ बातचीत में, आलम ने बताया कि वह “इस मुद्दे को सार्वजनिक नहीं करना चाहते थे जबकि बग अभी भी सक्रिय था, क्योंकि इससे उपयोगकर्ता खाते खतरे में पड़ सकते थे।”

बेस्टसेलर खाता स्क्रीनशॉट 800 बेस्टसेलर

हमने परीक्षण के लिए एक डमी खाता बनाया है कि क्या खाता टेकओवर बग लाइव था
फोटो साभार: स्क्रीनशॉट

गैजेट्स 360 तब कंपनी के पास पहुंचा, और अपने मुख्य सूचना अधिकारी रंजन शर्मा के साथ ईमेल का आदान-प्रदान किया, जिन्होंने जल्दी से जवाब दिया और आलम के निष्कर्षों के बारे में जानकारी एकत्र की। विवरण प्राप्त करने के बाद, शर्मा ने कहा कि वह “जाँच” करेगा। एक हफ्ते बाद, जब अपडेट के लिए पूछा गया, तो शर्मा ने कहा कि बग को ठीक कर दिया गया है।

“सबसे पहले, मुझे यह ध्यान में लाने के लिए धन्यवाद,” उन्होंने ईमेल के माध्यम से कहा। “हमने एक गहरा गोता लगाया और हमारे सिस्टम के साथ एक संस्करण जारी किया और इसलिए टोकन एक्सचेंज छूट गया जो हमने उसी दिन तय किया था। हम अपने पंजीकृत ग्राहकों तक पहुंचने की योजना पर भी काम कर रहे हैं। ”

इस बिंदु पर, हमने इस बारे में जानकारी मांगी कि ग्राहक कितने साइट का उपयोग करते हैं, और क्या कंपनी के पास कोई बग बाउंटी प्रोग्राम है जो सुरक्षा शोधकर्ताओं को रिपोर्ट में लाने के लिए प्रोत्साहित करता है। हालाँकि, शर्मा ने इसके बाद कोई प्रतिक्रिया साझा नहीं की और यह स्पष्ट नहीं है कि किसी भी उपयोगकर्ता को सूचित किया गया था – हमने जो परीक्षण खाता बनाया था, उसकी जानकारी के भंग होने के बारे में कोई अद्यतन प्राप्त नहीं हुआ – कंपनी द्वारा जारी किए गए और बग को तय किए जाने के तीन महीने बाद।

गैजेट्स द्वारा संपर्क किए जाने पर शर्मा और बेस्टसेलर ने तुरंत जवाब दिया और एक बार चर्चा के बाद इस मुद्दे को हल किया, जो एक सकारात्मक विकास है। हालाँकि, उपयोगकर्ताओं को संचार की कमी एक ऐसा क्षेत्र है जिस पर निश्चित रूप से सुधार किया जा सकता है।

सवाल में बग, जैसा कि आलम द्वारा प्रदर्शित किया गया था, काफी सरल था, और यह संभव है कि किसी भी उपयोगकर्ता डेटा को इस दोष से समझौता किया जा सकता था। हालांकि, यह भारत में एक निरंतर समस्या के अनुरूप है, जहां सुरक्षा शोधकर्ताओं को ऑनलाइन सिस्टम में कमजोरियों की खोज करने के लिए सक्रिय रूप से हतोत्साहित किया जाता है – और उपयोगकर्ताओं को शायद ही कभी, यदि समस्याओं के बारे में बताया जाता है, जब तक कि मामला अन्य स्रोतों से सार्वजनिक न हो जाए।


क्या व्हाट्सएप की नई गोपनीयता नीति आपकी गोपनीयता को समाप्त करती है? हमने ऑर्बिटल, गैजेट्स 360 पॉडकास्ट पर इस पर चर्चा की। ऑर्बिटल पर उपलब्ध है Apple पॉडकास्ट, Google पॉडकास्ट, Spotify, और जहाँ भी आपको अपना पॉडकास्ट मिलता है।



[ad_2]

Source link

Leave a Comment