वेरो मोडा, जैक और जोन्स, बेस्टसेलर साइट बग उपयोगकर्ता डेटा को जोखिम में डालती है


2021-04-08 09:17:51

वेरो मोडा, जैक और जोन्स, सिम्पली और अन्य बेस्टसेलर इंडिया वेबसाइटों में सुरक्षा खामियां थीं, जो उपयोगकर्ता खातों को किसी ऐसे व्यक्ति द्वारा अपहृत करने की अनुमति देती थीं, जो लक्ष्य के ईमेल आईडी को जानते थे। यह बदले में उपयोगकर्ता के वितरण पते, उनके पूर्ण नाम और फोन नंबर और साइटों के साथ किसी भी बचाया क्रेडिट जैसी जानकारी का खुलासा करेगा। यद्यपि यह जानकारी आपको परेशान नहीं करती है, लेकिन ऐसा डेटा वास्तव में बहुत मूल्यवान है, और ऐसी जानकारी का उपयोग फ़िशिंग हमले में एक वास्तविक व्यवसाय को लागू करने के लिए किया जाता है और आपको अपने पैसे से बाहर निकालता है। गैजेट्स 360 के बाद कंपनी ने इस मुद्दे को उठाया – सुरक्षा शोधकर्ता ने ऐसा करने के एक पूरे साल बाद – आखिरकार गलती को ठीक किया, इसलिए ग्राहक डेटा अब सुलभ नहीं है, लेकिन कंपनी ने कोई भी विवरण साझा नहीं किया है कि ग्राहक डेटा कितने समय तक जोखिम में है। ।

सुरक्षा शोधकर्ता सयान आलम ने सितंबर 2019 में कंपनी के अधिकारियों को एक पत्र लिखा था। उस समय आलम ने कंपनी के सीईओ को ट्वीट किया और ईमेल भेजने के लिए कहा। तब आलम ने कंपनी के सीईओ को इस मुद्दे पर एक रिपोर्ट भेजी और ए ट्वीट करने के लिए वेरो मोडा इंडिया के खाते के जवाब में, जिन्होंने कहा कि उन्होंने इसे संबंधित कंपनी को भेज दिया है।

360 द्वारा गैजेट्स द्वारा समीक्षा किए गए ईमेल में, आलम ने बताया कि वह एक सुरक्षा परीक्षण कर रहा था और एक त्रुटि पाई गई जो वेरो मोडा, जैक और जोन्स और केवल भारत के लिए खाते में ले सकती है। उन्होंने कंपनी के सीटीओ से जुड़ने के लिए कहा।

एक साल से अधिक समय बाद, आलम ने कहा कि उन्हें कंपनी से कोई और जानकारी नहीं मिली है जबकि त्रुटि सक्रिय थी। दिसंबर में, आलम ने गैजेट्स से संपर्क किया 360, और गोपनीय विवरण के साथ एक डमी खाता बनाकर, हम यह पुष्टि करने में सक्षम थे कि अगर आलम को पता था कि ईमेल आईडी साइन अप करने के लिए उपयोग की जाती है, तो वह वास्तव में खाता ले सकता है।

यह देखते हुए कि ईमेल आईडी का उपयोग कैसे किया जाता है, किसी की ईमेल आईडी प्राप्त करना मुश्किल नहीं होगा, और फिर, व्यक्ति के घर के पते जैसे अन्य विवरण प्राप्त करें, उनकी सुरक्षा और सुरक्षा से समझौता करें।

360 के साथ गैजेट्स के साथ बातचीत में, आलम ने बताया कि वह “इस मुद्दे का खुलासा नहीं करना चाहता था, जबकि त्रुटि अभी भी सक्रिय थी, क्योंकि यह उपयोगकर्ता खाते को खतरे में डाल सकता था।”

बेस्टसेलर अकाउंट स्क्रीनशॉट ने 800 बेस्टसेलर को गोली मार दी

हमने यह जांचने के लिए एक डमी खाता बनाया कि क्या खाता अधिग्रहण बग लाइव है
फोटो क्रेडिट: स्क्रीनशॉट

इसके बाद गैजेट्स ने 360 कंपनी तक पहुंच बनाई और अपने मुख्य सूचना अधिकारी रंजन शर्मा के साथ ईमेल का आदान-प्रदान किया, जिन्होंने तुरंत जवाब दिया और आलम के निष्कर्षों के बारे में जानकारी एकत्र की। विवरण प्राप्त करने के बाद, शर्मा ने जवाब दिया कि वह “जांच करेगा।” एक हफ्ते बाद, जब अपडेट के लिए पूछा गया, तो शर्मा ने कहा कि बग को ठीक कर दिया गया है।

“सबसे पहले, यह हमारे ध्यान में लाने के लिए धन्यवाद,” उन्होंने ईमेल के माध्यम से कहा। “हम एक गहरी गोता लगाते हैं और हमारे सिस्टम के साथ संस्करण का मुद्दा उठाते हैं और टोकन एक्सचेंज से चूक गए, जो हमने उसी दिन तय किया था। हम अपने पंजीकृत ग्राहकों तक पहुंचने की योजना पर भी काम कर रहे हैं।

फिलहाल, हमने इस बारे में जानकारी मांगी है कि साइट का उपयोग कितने ग्राहक करते हैं, और क्या कंपनी के पास बग बाउंटी प्रोग्राम है जो सुरक्षा शोधकर्ताओं को रिपोर्ट लाने के लिए प्रोत्साहित करता है। हालांकि, शर्मा ने उसके बाद कोई प्रतिक्रिया साझा नहीं की और यह स्पष्ट नहीं है कि क्या किसी भी उपयोगकर्ता को सूचित किया जाएगा – हमने जो परीक्षण खाता बनाया है, उसकी जानकारी के उल्लंघन के बारे में कोई अपडेट प्राप्त नहीं हुआ – कंपनी को इस मुद्दे की सूचना दी गई थी और त्रुटि थी तीन महीने बाद सही किया।

गैजेट्स द्वारा संपर्क किए जाने पर शर्मा और बेस्टसेलर ने त्वरित प्रतिक्रिया व्यक्त की और एक बार जब इस मुद्दे पर चर्चा की गई तो समस्या का समाधान किया गया, जो एक सकारात्मक विकास है। हालांकि, उपयोगकर्ताओं को संचार की कमी एक ऐसा क्षेत्र है जो निश्चित रूप से सुधार किया जा सकता है।

सवाल में बग, जैसा कि आलम द्वारा प्रदर्शित किया गया था, काफी सरल था, और यह संभव है कि उपयोगकर्ताओं की संख्या में इस दोष से समझौता किया गया होगा। हालांकि, यह भारत में लगातार समस्या के साथ संगत है, जहां सुरक्षा शोधकर्ताओं को ऑनलाइन ऑनलाइन सिस्टम में भेद्यता खोजने से सक्रिय रूप से हतोत्साहित किया जाता है – और उपयोगकर्ताओं को शायद ही कभी, यदि कभी भी, समस्याओं के बारे में बताया जाए, जब तक कि मामला अन्य स्रोतों से सार्वजनिक न किया जाए।


क्या व्हाट्सएप की नई गोपनीयता नीति आपकी गोपनीयता के लिए समाप्त हो जाती है? हमने इस पर चर्चा की कक्षा का, गैजेट्स 360 पॉडकास्ट। ऑर्बिटल पर उपलब्ध है Apple पाल पॉडकास्ट, Google पॉडकास्ट, Spotify, और जहाँ भी आपको अपना पॉडकास्ट मिलता है।





Source link

Leave a Reply