Gadgetshowto
V dnešní době se zdá, že se některé technologické společnosti více zajímají o to, jak rozšířit uživatelskou základnu, než o zabezpečení svých serverů nebo zachování uživatelských dat v soukromí.
Viděli jsme, jak OnePlus a Xiaomi provozují nezabezpečené platební brány, ale nyní bylo zjištěno, že server Truecaller Pay byl otevřeně přístupný až před chvílí.
Jak hlásil Redditor always_say_this, vrtal se kolem a narazit na zranitelný server, který byl používán pro transakce Truecaller Pay. Jakmile budete mít přístup na tento server, můžete v podstatě vidět každou transakci, která byla dokončena pomocí Truecaller Pay založeného na UPI.
Všechna vaše data jsou přístupná
Největším problémem však nebylo, že jste mohli vidět každou transakci, místo toho to bylo osobní údaje - související s transakcí - byly široce dostupné pro kohokoli. Přes mezeru na serveru jste mohli vidět následující:
- Virtuální platební adresa UPI odesílatele a příjemce,
- Čísla účtů
- Zůstatek na účtu odesílatele,
- Stav transakce - úspěch nebo neúspěch,
- Podrobnosti o zařízení - IMEI a IP adresa
Jedná se o vážný potrat bezpečnosti ze strany společnosti, která byla včera večer Redditorem okamžitě informována o mezeře.
Truecaller poté vydal oficiální prohlášení (na Twitteru), které to říká byl to jen testovací server, který byl „používán k experimentálnímu zajišťování nových služeb“ a nebyla porušena žádná data.
Ale, vždy_to_toto nebyl připraven se vzdát a odsekl, že server je stále velmi funkční a funkční. Zahrnul důkaz, že se nejednalo o testovací server, protože na snímku, který zveřejnil, bylo jasně vidět zvýraznění „produkce“. Takže jsme se rozhodli s ním navázat kontakt, abychom hlouběji prozkoumali bezpečnostní důsledky této mezery.
Server je nyní opraven
Zatímco jsme diskutovali o důsledcích této mezery, Truecaller potvrdil, že tuto chybu zabezpečení opravili. Společnost uvedla, že server je ve skutečnosti ve výrobě (to znamená, že z něj běží všechny služby), ale všechna data, která člověk vidí, nejsou z reálných transakcí.
Dodávají to je to testovací prostředí, což je primární důvod, proč je ID UPI na snímku obrazovky připojeném výše @icicipay a ne @icici. Pokud by server zobrazoval podrobnosti transakcí v reálném světě, pak by ten druhý byl použit ve VPA. Truecaller dále přidán,
@icici je ten, který se používá v aktuální verzi Truecaller, takže proto říkáme, že @icicipay je aktuálně v testovacím prostředí. Protokoly, ke kterým přistupujete, patří do vyvíjené služby, která se ještě musí posílit zabezpečením bankovní třídy.
I když bychom chtěli pochválit Truecaller za vyřešení tohoto problému do 24 hodin, otázkou je, proč by společnost dokonce testovala nové služby na nezabezpečeném serveru. Vzhledem k tomu, že digitální prostředí v zemi roste poměrně exponenciálně, je třeba dohnat také standardy kybernetické bezpečnosti, abychom zajistili bezpečnost našich osobních údajů. Naštěstí se nyní z hlediska Truecaller Pay není čeho bát a můžete ji bez obav používat.
