Индийский стартап Yo Madam раскрыл секретные данные клиентов и гиг-работников

Индийская платформа салонов красоты на дому Yo Madam раскрыла конфиденциальные данные своих клиентов и работников из-за неправильной настройки на стороне сервера.

Yo Madam из Нойды работает более чем в 30 городах страны. лейтенант на сайт компании. Платформа предлагает салонные услуги на дому, включая терапию, массаж, спа и мужской уход. Мобильные приложения Yes Madam также скачали более миллиона раз.

Но стартап оставил после себя базу данных полных имен, мобильных номеров, почтовых адресов и адресов электронной почты сотен тысяч клиентов Yes Madam, подключенных к Интернету без пароля как минимум с 20 февраля. База данных также включала данные о местоположении клиентов, в том числе их Клиенты. Значения широты и долготы, а также ссылки для оплаты и сведения об устройстве пользователя, такие как названия моделей и номера IMEI.

Кроме того, стартап выложил на платформе изображения профилей, имена и номера мобильных телефонов гиг-работников.

Исследователь безопасности Анураг Сен из CloudDefense.ai Нашел открытую базу данных и попросил TechCrunch помочь сообщить об этом стартапу.

Любой, кто знаком с IP-адресом базы данных, мог получить доступ к разлитым данным из-за неправильной конфигурации, используя только свой веб-браузер. Сен сказал, что в базе данных есть записи от более чем 900 000 пользователей.

Да, мадам защитила базу данных в пятницу, вскоре после того, как TechCrunch обратился за подробностями. Соучредитель Yes Madam Маянк Арья подтвердила TechCrunch, что она внесла исправление.

На вопрос, есть ли у Yes Madam технические средства, такие как журналы, чтобы определить, следил ли за раскрытыми данными кто-либо еще, Арья не стала комментировать.

Сен также проинформировал индийскую группу реагирования на компьютерные чрезвычайные ситуации CERT-In, ведущее агентство по решению проблем кибербезопасности в стране, о раскрытии данных.