كشفت شركة تاتا سكاي وكروما ، الكيانان المملوكان لمجموعة تاتا ، عن بيانات الملايين من عملائها بسبب نقاط الضعف الأمنية ، وفقًا لباحث في الأمن السيبراني. سمحت المشكلات للممثلين السيئين بالوصول إلى البيانات الحساسة بما في ذلك الأسماء الكاملة وأرقام الهواتف والعناوين وتاريخ الميلاد ومعرفات البريد الإلكتروني لعملاء Tata فيوتشر نيوز و Croma ، من خلال الاستفادة من الثغرات الموجودة في واجهات برنامج التطبيق (APIs) على مواقع الويب الخاصة بهم . أصلحت الشركتان الثغرات الأمنية بعد أن تم الإبلاغ عنها على الويب.
اكتشف الباحث في الأمن السيبراني راحيل بهنسالي الثغرات الأمنية الموجودة في مواقع تاتا سكاي وكروما. كان قادرًا على فهم مدى انتشارها بالتعاون مع زميله أنكيت باندي.
بعد وقت قصير من اكتشاف نقاط الضعف وإيجاد نطاقها ، كتب بهنسالي عنها على موقع Medium. وقال الباحث إن الثغرة التي تؤثر على مشتركي Tata فيوتشر نيوز الموجودة على موقعها كشفت بيانات المشتركين التي تضمنت أسمائهم وجنسهم وتاريخ ميلادهم ومعرفات البريد الإلكتروني وأرقام الهواتف المحمولة المسجلة وأرقام الهواتف البديلة والعناوين البريدية.
بصرف النظر عن المعلومات الشخصية للمشتركين ، لاحظ الباحث أن الثغرة الأمنية كشفت عن تفاصيل الاشتراك بما في ذلك معرف المشترك ، وتاريخ الاشتراك ، وسجل المعاملة منذ أول اشتراك ، وعدد أجهزة فك التشفير النشطة وغير النشطة من قبل المشترك.
ذكر الباحث في رسالته على موقع Medium أن البيانات الخاصة بأكثر من 22 مليون مشترك في Tata فيوتشر نيوز يمكن الوصول إليها من خلال الثغرة الأمنية من قبل أي شخص يعرف الترميز ولديه المعرفة للعمل مع واجهات برمجة التطبيقات. ومع ذلك ، لم يكن من الواضح ما إذا كانت المشكلة قد سمحت بالفعل لممثل سيئ بالوصول إلى بيانات المستخدم.
تمكن بهنسالي من فهم الخلل بعد زيارة موقع Tata فيوتشر نيوز على الويب لإعادة شحن سريع عن طريق إدخال رقم هاتفه. كتب: “لدهشتي ، أظهر لي اسمي ومعرف المشترك والرصيد وتاريخ انتهاء الاشتراك دون أي شكل من أشكال تسجيل الدخول”.
وجد الباحث التعرض من خلال الثغرة الأمنية عن طريق تشغيل نص باستخدام أرقام هواتف مختلفة. عند فهم الخلل ، تحدث مع الرئيس التنفيذي لشركة Tata فيوتشر نيوز Harit Nagpal لتوضيح المشكلة وقد أدى ذلك إلى الإصلاح.
ومع ذلك ، أشار بهنسالي إلى أن هناك مشكلة واحدة لا تزال قائمة حيث لا يزال اسم المشترك متاحًا لأي رقم هاتف محمول.
قال الباحث: “لقد أمضيت وقتًا في التحقق من مقدمي الخدمات الآخرين مثل Jio و Vodafone و Airtel – وقد منعوا جميعًا من تطبيق تجارب المستخدم هذه على الأرجح بسبب مخاطر أمنية مماثلة”.
لم يكن المتحدث باسم شركة Tata فيوتشر نيوز متاحًا على الفور في وقت تقديم هذه القصة لتقديم تعليق على الإصلاح.
تحديث ، 2:46 مساءً: لاحظ متحدث باسم Tata فيوتشر نيوز: “لدينا إجراءات مراقبة وأمن استباقية تتأكد من أنه إذا حاول مصدر واحد استخراج سجلات مشترك متعددة ، باستخدام أي وسيلة ، سجل واحد في كل مرة أو أكثر عبر برنامج ، يتم إنشاء تنبيهات آلية لمنع محاولة سرقة بيانات محتملة “. يمكنك رؤية البيان الكامل في أسفل هذه القصة.
بالإضافة إلى الثغرة الأمنية الموجودة على موقع Tata فيوتشر نيوز ، وجد Bhansali مشكلة مماثلة في موقع Croma حيث تمكن من العثور على الاسم ورقم الهاتف المحمول المسجل والعنوان البريدي وسجل المعاملات غير المتصل بالإنترنت للعملاء الذين يشترون البضائع من التجزئة سلسلة.
أبلغ Ritesh Ghosal ، كبير مسؤولي التسويق في Infinity Retail ، التي تعمل تحت العلامة التجارية Croma ، Gadgets 360 أنه تم إصلاح المشكلة المبلغ عنها.
وقال في رد عبر البريد الإلكتروني: “لقد راجعنا المخاوف والنتائج التفصيلية التي شاركها السيد بهنسالي ووضعنا المزيد من الإجراءات الأمنية لإضافة طبقة إضافية من الأمان في مكانها عبر أنظمتنا بأثر فوري”.
يمكن استخدام المعلومات الشخصية التي تتعرض لها نقاط الضعف مثل تلك الموجودة في مواقع Tata فيوتشر نيوز و Croma لشن هجمات تصيد واستهداف الأفراد برسائل بريد إلكتروني احتيالية ورسائل نصية.
“نحن في Tata فيوتشر نيوز ندرك خصوصية تفاصيل مشتركينا ونتوخى أقصى درجات الحذر لحمايتها من الاستغلال من قبل طرف خارجي لأغراض تجارية خاصة بهم.
لدينا إجراءات مراقبة وأمن استباقية تتأكد من أنه إذا حاول مصدر واحد استخراج العديد من سجلات المشتركين ، باستخدام أي وسيلة ، أو سجل واحد في كل مرة أو أكثر عبر برنامج ، يتم إنشاء تنبيهات آلية لمنع محاولة سرقة البيانات المحتملة.
لم نواجه أي مشكلات تتعلق بسرقة البيانات في الماضي البعيد أو القريب مما قد يؤثر بشكل جوهري على عملائنا.
نستمر في مراجعة سياساتنا وأنظمة أمان البيانات بانتظام ، للبقاء متقدمًا بخطوة على أحدث المخاطر التي قد تظهر من وقت لآخر.
على سبيل الحذر الشديد ، أجرينا تمرينًا خاصًا لطمأنة أنفسنا أن أجهزة الإنذار الخاصة بنا لا تزال تعمل ولا توجد إمكانية لخرق الطبيعة المقترحة في المدونة. “- المتحدث باسم تاتا سكاي
ما هو الإطلاق التقني الأكثر إثارة في عام 2021؟ لقد ناقشنا هذا الأمر على Orbital ، البودكاست التقني الأسبوعي الخاص بنا ، والذي يمكنك الاشتراك فيه عبر Apple Podcasts أو Google Podcasts أو RSS أو تنزيل الحلقة أو الضغط على زر التشغيل أدناه.