Swiggy、Redbus、Nykaa、BigBasket、TataMotors、ICICIPruLife、Axis Direct 和其他品牌在印度的客户都面临风险。网络安全的忽视导致他们的大量个人数据被暴露。
2 月 12 日,Cybernews 研究团队发现了一个可公开访问的 Apache Kafka Broker,属于印度营销分析公司 Gamooga。
该公司提供对客户习惯和活动的洞察,以便构建成功的营销活动。
该开放实例包含来自多个印度知名品牌及其客户的敏感数据,包括银行服务提供商、保险机构、电子商务商店、娱乐应用程序和教育机构。
巴士旅客信息,包括目的地
这些数据的访问时间超过一年,任何人都可以连接到它并实时接收客户的敏感数据,至少有百万用户的私人数据被泄露。
数据泄露是极其危险的,不仅是因为敏感数据被公开,而且其范围也很大。 Gamooga 声称其追踪超过 10 亿用户,这将占印度人口的三分之二或世界人口的八分之一。
来自 Nykaa 的信息,包括客户 PII
另一个令人担忧的重要原因是,受泄密影响的公司没有在隐私政策中明确声明第三方可以出于营销目的访问客户数据,这可能违反印度的数据保护法。
Cybernews 联系了 Gamooga,该公司获得了数据访问权。尚未收到营销公司和受影响公司的正式评论。
受泄密事件影响的一些知名品牌包括:
Nykaa(美容产品)
Swiggy(送餐服务)
BigBasket(网上杂货店)
塔塔汽车公司(印度跨国汽车公司)
ICICIPruLife(人寿保险产品)
CaratLane(珠宝零售商)
AxisDirect(由 Axis 银行资助的 Demat 和交易服务)
Redbus(网上巴士票预订服务)
海量数据
Kafka 是一个分布式消息流平台,用于实时处理大量数据。 Brokers 是 Kafka 架构中的服务器,用于管理数据记录的存储并将数据从一个系统传输到另一个系统。
泄露数据的完整列表:
电子邮件地址、姓名
购买记录
IP地址
电话号码
出生日期
订单交货日期
保险信息
部分付款信息
设备信息
用户位置
来自 ICICI Prulife 的数据,包括用户设备信息、跟踪 ID
在调查过程中,Cybernews 研究团队收集了未受保护的 Kafka Broker 实时发送的超过 4000 万个请求,在短短两个小时内总共收集了 17GB 的私人数据。如果威胁行为者投入更多时间来收集这些信息,他们可能会收获更多的敏感数据。
研究人员收集的一组请求包含至少一百万个唯一用户的敏感信息。在该经纪商公开访问的整个期间,此类请求的总数可能飙升至 2000 亿。
BigBasket 的订单信息
信用卡信息
让客户面临风险
泄露的数据对于数据经纪人、执法机构、政府、情报机构和恶意行为者来说是非常宝贵的,可以用来监视个人、深入了解人们的活动、行为和位置。
来自保险提供商的信息
如果威胁行为者访问这些数据,这些数据可能会对使用 Gamooga 服务的公司造成重大损害。泄露的数据带来严重的网络安全风险,例如身份盗窃、垃圾邮件、人肉搜索、网络钓鱼、恐吓、勒索和操纵。
隐私政策中未注明
Cybernews 研究团队审查了那些被发现通过暴露的 Kafka Broker 传输用户数据的公司的隐私和 cookie 政策。
没有一家公司透露出于营销目的与 Gamooga 共享用户数据。一些政策披露了第三方营销合作伙伴的使用情况,但没有具体说明共享哪些数据以及如何使用这些数据。
Caratlane 客户和网络请求
与欧洲的 GDPR 和加利福尼亚州的 CCPA 类似,印度也正在通过自己的数据保护法——2023 年数字个人数据保护法 (DPDPA)。
根据该法案,企业在处理用户数据之前需要获得用户的同意,说明收集的数据将用于什么目的,并允许用户撤销同意。
这些公司没有声明已与 Gamooga 共享用户数据,这一事实可能被视为违反 DPDPA。
从银行应用程序收集的信息
文章原文链接:https://www.anquanke.com/post/id/294142
