banner large

WeWork India memaparkan informasi pribadi dan selfie pengunjung – TechCrunch

Comment
X
Share

WeWork India telah memperbaiki celah keamanan yang mengungkap informasi pribadi dan selfie dari puluhan ribu orang yang mengunjungi ruang kerja bersama WeWork India.

Peneliti keamanan Sandeep Hodkasia menemukan data pengunjung tumpah dari aplikasi check-in di situs web WeWork India, yang digunakan oleh pengunjung untuk masuk di lusinan lokasi WeWork India di seluruh negeri. Sebuah bug di aplikasi berarti dimungkinkan untuk mengakses catatan check-in pengunjung mana pun dengan menambah atau mengurangi ID pengguna berurutan pengguna dengan satu digit.

Karena alat check-in menghadap ke internet, bug tersebut memungkinkan siapa pun di internet untuk menggilir ribuan catatan, mengekspos nama, nomor telepon, alamat email, dan selfie. Hodkasia mengatakan tidak ada kontrol yang jelas untuk mencegah seseorang mengakses data secara massal.

Tidak ada data yang dienkripsi.

Hodkasia menjelaskan bug tersebut ke TechCrunch, yang mereplikasi dan mengonfirmasi temuannya, dan meneruskan informasi tersebut ke WeWork India.

Ketika dihubungi melalui email, juru bicara WeWork India Apoorva Verma mengkonfirmasi situs webnya “memiliki bug yang memungkinkan akses tidak disengaja ke informasi pengunjung dasar.” Aplikasi check-in ditarik dari situs web segera setelah TechCrunch menghubungi perusahaan. Menurut Verma, WeWork India “sedang mentransisikan situs web kami,” dan bahwa perubahannya baru-baru ini “mengurangi” keterpaparan.

Tidak diketahui secara pasti berapa banyak informasi pengunjung yang diekspos atau untuk berapa lama.

Ketika ditanya apakah ada rencana untuk memberi tahu mereka yang informasinya terungkap, juru bicara WeWork India Sweta Nair tidak akan mengatakannya. (Aturan pelaporan pelanggaran data baru India, yang mengharuskan perusahaan untuk memberi tahu pihak berwenang tentang pelanggaran data dalam waktu enam jam setelah ditemukan, belum berlaku, menyusul penundaan peluncuran aturan.)

WeWork India bergabung dengan sejumlah perusahaan dan organisasi India pada tahun lalu yang dilanda kelemahan dalam keamanan siber. Pada tahun 2020 selama puncak pandemi COVID-19, jaringan seluler terbesar di India Jio mengekspos database yang berisi hasil pemeriksa gejala swa-uji virus corona di situs webnya. Awal tahun ini, Pasukan Keamanan Industri Pusat India meninggalkan database yang dikemas dengan log jaringan yang terpapar ke internet, yang memungkinkan siapa saja untuk langsung mengakses file internal di jaringan internal CISF. Dan, pada bulan Juni, TechCrunch melaporkan tumpahan terbaru nomor Aadhaar yang berpotensi melibatkan jutaan petani India, berkat celah keamanan di lembaga pemerintah PM-Kisan.

Baca lebih banyak:


Untuk menghubungi meja keamanan, Anda dapat mengirim pesan ke Signal di +1 646-755-8849 atau [email protected] melalui email.

Leave a Reply

Your email address will not be published.