WeWork India hat eine Sicherheitslücke behoben, die die persönlichen Daten und Selfies von Zehntausenden von Menschen offengelegt hat, die die Coworking Spaces von WeWork India besucht haben.
Sicherheitsforscher Sandeep Hodkasia fanden Besucherdaten, die aus der Check-in-App auf der Website von WeWork India liefen und von Besuchern verwendet wurden, um sich an den Dutzenden von WeWork India-Standorten im ganzen Land anzumelden. Ein Fehler in der App bedeutete, dass es möglich war, auf den Check-in-Datensatz jedes Besuchers zuzugreifen, indem die fortlaufende Benutzer-ID des Benutzers um eine einzelne Ziffer erhöht oder verringert wurde.
Da das Check-in-Tool mit dem Internet verbunden war, ermöglichte der Fehler jedem im Internet, durch Tausende von Datensätzen zu blättern und dabei Namen, Telefonnummern, E-Mail-Adressen und Selfies preiszugeben. Hodkasia sagte, es gebe keine offensichtlichen Kontrollen, um jemanden daran zu hindern, auf die Daten in großen Mengen zuzugreifen.
Keine der Daten wurde verschlüsselt.
Hodkasia beschrieb den Fehler Tech, das seine Ergebnisse replizierte und bestätigte, und leitete die Informationen an WeWork India weiter.
Als sie per E-Mail erreicht wurde, bestätigte die Sprecherin von WeWork India, Apoorva Verma, dass ihre Website „einen Fehler hatte, der einen unbeabsichtigten Zugriff auf die grundlegenden Besucherinformationen ermöglichte“. Die Check-in-App wurde von der Website entfernt, kurz nachdem Tech das Unternehmen kontaktiert hatte. Laut Verma befindet sich WeWork India „mitten in der Umstellung unserer Website“, und die jüngsten Änderungen „milderten“ die Gefährdung.
Es ist nicht genau bekannt, wie viele Besucherinformationen wie lange offengelegt wurden.
Auf die Frage, ob es Pläne gebe, diejenigen zu benachrichtigen, deren Informationen offengelegt wurden, sagte die Sprecherin von WeWork India, Sweta Nair, nichts. (Indiens neue Vorschriften zur Meldung von Datenschutzverletzungen, die Unternehmen dazu verpflichten, die Behörden innerhalb von sechs Stunden nach Entdeckung einer Datenschutzverletzung zu benachrichtigen, müssen noch in Kraft treten eine Verzögerung bei der Einführung der Regeln.)
WeWork India schließt sich einer Reihe indischer Unternehmen und Organisationen an, die im vergangenen Jahr von einem Versäumnis der Cybersicherheit geplagt wurden. Im Jahr 2020, während des Höhepunkts der COVID-19-Pandemie, veröffentlichte Indiens größtes Mobilfunknetz Jio auf seiner Website eine Datenbank mit den Ergebnissen eines Coronavirus-Selbsttest-Symptomprüfers. Anfang dieses Jahres hinterließ die indische Central Industrial Security Force eine Datenbank voller Netzwerkprotokolle, die dem Internet zugänglich gemacht wurden und es jedem ermöglichten, direkt auf interne Dateien im internen Netzwerk von CISF zuzugreifen. Und im Juni berichtete Tech über die jüngste Verbreitung von Aadhaar-Zahlen, an denen möglicherweise Millionen von indischen Bauern beteiligt waren, dank einer Sicherheitslücke bei der Regierungsbehörde PM-Kisan.
Weiterlesen:
Um mit dem Sicherheitsschalter in Kontakt zu treten, können Sie Signal unter +1 646-755-8849 oder [email protected] per E-Mail kontaktieren.