Gadgetshowto
În zilele noastre, unele companii de tehnologie par mai preocupate de cum să crească baza de utilizatori, decât să își securizeze serverele sau să păstreze datele utilizatorilor private.
Am văzut OnePlus și Xiaomi operând ambele gateway-uri de plăți nesigure, dar acum s-a descoperit că serverul Truecaller Pay era accesibil în mod deschis până acum ceva timp..
Așa cum a raportat Redditor mereu_spune_acest lucru, el se zbătea în jur și întâlnim un server vulnerabil care era folosit pentru tranzacțiile Truecaller Pay. Odată ce ați acces la acest server, puteți vedea în esență fiecare tranzacție care a fost finalizată utilizând Truecaller Pay bazat pe UPI.
Toate datele dvs. sunt accesibile
Cu toate acestea, cea mai mare preocupare nu a fost aceea că ați putut vedea fiecare tranzacție, ci a fost asta datele personale - legate de tranzacție - erau disponibile pe scară largă pentru accesul oricui. Puteți vedea următoarele prin intermediul portiței de pe server:
- Adresa de plată virtuală UPI a expeditorului și a destinatarului,
- Numere de cont
- Soldul contului expeditorului,
- Starea tranzacției - succes sau eșec,
- Detalii despre dispozitiv - adresa IMEI și IP
Aceasta este o gravă eroare de securitate din partea companiei, care ieri seară a fost informată instantaneu despre lacuna de către Redditor.
Truecaller a lansat apoi o declarație oficială (pe Twitter) spunând că era doar un server de testare care era „folosit pentru furnizarea experimentală de noi servicii” și nu au fost încălcate date.
Dar, mereu_spune_acest lucru nu a fost gata să renunțe și a replicat că serverul era încă foarte funcțional. El a inclus dovezi că nu a fost un server de testare, deoarece se vedea clar „producția” evidențiată în captura de ecran pe care a postat-o. Deci, am decis să luăm legătura cu el pentru a aprofunda implicațiile asupra securității acestei lacune.
Serverul este acum corectat
În timp ce discutam despre implicațiile acestei lacune, Truecaller a confirmat că au reparat vulnerabilitatea. Compania a spus că serverul este de fapt în producție (înseamnă că toate serviciile funcționează), dar toate datele pe care le vedeți nu provin din tranzacții din lumea reală.
Ei adaugă asta este un mediu de testare, care este principalul motiv pentru care ID-ul UPI din captura de ecran atașată mai sus este @icicipay și nu @icici. Dacă serverul arăta detalii despre tranzacțiile din lumea reală, atunci acesta din urmă ar fi fost utilizat în VPA. Truecaller a adăugat în continuare,
@icici este cel folosit în versiunea curentă a Truecaller, deci de aceea spunem că @icicipay se află în prezent într-un mediu de testare. Jurnalele la care accesați aparțin unui serviciu în curs de dezvoltare care nu a fost încă întărit cu securitatea clasei bancare..
Deși am dori să îl felicităm pe Truecaller pentru rezolvarea acestei probleme în termen de 24 de ore, întrebarea este de ce ar verifica compania chiar și servicii noi pe un server nesecurizat. Deoarece peisajul digital al țării este în creștere destul de exponențial, standardele de securitate cibernetică trebuie, de asemenea, să fie din urmă pentru a ne păstra securitatea datelor personale. Din fericire, acum nu mai aveți de ce să vă faceți griji în ceea ce privește Truecaller Pay și îl puteți folosi fără griji.
