Die indische Salon-Plattform Yes Madam hat die sensiblen Daten ihrer Kunden und Gig-Mitarbeiter aufgrund einer serverseitigen Fehlkonfiguration offengelegt.
Die in Noida ansässige Yes Madam ist in über 30 Städten des Landes tätig, nach zur Website der Kanzlei. Die Plattform bietet Salondienste zu Hause an, darunter Therapien, Massagen, Spa und Männerpflege. Auch die mobilen Apps von Yes Madam wurden über eine Million Mal heruntergeladen.
Aber das Startup hinterließ eine Datenbank mit vollständigen Namen, Handynummern, Postanschriften und E-Mail-Adressen von Hunderttausenden von Yes Madam-Kunden, die seit mindestens dem 20. Februar ohne Passwort mit dem Internet verbunden waren. Die Datenbank enthielt auch die Standortdaten der Kunden, einschließlich ihrer Breiten- und Längengradwerte sowie Zahlungslinks und Benutzergerätedetails wie Modellnamen und IMEI-Nummern.
Darüber hinaus hat das Startup Profilbilder, Namen und Handynummern von Gig-Arbeitern auf der Plattform veröffentlicht.
Sicherheitsforscher Anurag Sen von CloudDefense.ai fand die exponierte Datenbank und bat Tech, sie dem Startup zu melden.
Jeder, der mit der IP-Adresse der Datenbank vertraut ist, könnte aufgrund der Fehlkonfiguration nur mit seinem Webbrowser auf die Spilling-Daten zugreifen. Sen sagte, die Datenbank habe Einträge von über 900.000 Benutzern.
Ja, Madam hat die Datenbank am Freitag gesichert, kurz nachdem Tech sich mit Details gemeldet hatte. Ja, Madame Mitbegründerin Mayank Arya hat gegenüber Tech bestätigt, dass sie eine Fehlerbehebung vorgenommen hat.
Auf die Frage, ob Yes Madam über die technischen Mittel wie Protokolle verfügt, um festzustellen, ob jemand anderes auf die offengelegten Daten zugegriffen hat, äußerte sich Arya nicht weiter.
Sen informierte auch das indische Computer-Notfallteam CERT-In, die führende Behörde für die Behandlung von Cybersicherheitsproblemen im Land, über die Offenlegung von Daten.