Shipyaariuna empresa de software con sede en Mumbai que ofrece logística de envío a las principales marcas de consumo, expuso los datos personales de miles de sus clientes debido a una filtración de su información interna de envío durante meses.
Los datos expuestos, descubiertos por un investigador de seguridad Ashutosh Barot, incluía los nombres, las direcciones, los números de teléfono, los montos de las facturas de los pedidos y el estado de entrega de los clientes de Shipyaari. Según Barot, la página de seguimiento de clientes de Shipyaari no estaba protegida con contraseña y cualquiera que tuviera la dirección web podía verla.
“La información expuesta podría usarse más tarde para realizar ataques de ingeniería social y fraudes financieros”, dijo Barot a TechCrunch.
El investigador contactó inicialmente a Shipyaari sobre la exposición en octubre de 2021 y la compañía prometió una solución en diciembre. Se hicieron algunos cambios, pero no arreglaron la exposición. Finalmente se solucionó a fines de julio después de que TechCrunch se comunicara con el incidente de seguridad.
“Agradezco a Shipyaari por solucionar el problema e implementar las recomendaciones”, dijo Barot.
Shipyaari corrigió la exposición al eliminar la información de identificación personal (PII) de los clientes de la página de seguimiento y restringió su acceso con un sistema de PIN (OTP) de un solo uso. Más tarde actualizó el sistema para evitar que los malos actores lanzaran ataques automáticos.
“La privacidad de los datos es de suma importancia para nosotros y nos aseguraremos de que tales casos no ocurran en el futuro”, dijo Vishal Totla, fundador de Shipyaari, en una respuesta por correo electrónico a TechCrunch.
Totla dijo que los datos PII del cliente ya no se mostrarán en la página mientras se carga.
Shipyaari afirma manejar más de 5.000 envíos al día. La empresa también cuenta con más de 6.000 vendedores activos en todo el país.
Barot subrayó que India necesitaba leyes sólidas de privacidad de datos para ayudar a limitar los crecientes casos de exposición y fuga de datos.
A principios de este mes, el gobierno indio retiró el Proyecto de Ley de Protección de Datos Personales largamente esperado que se promovió para traer reglas estrictas para ayudar a proteger la privacidad de sus ciudadanos. La legislación alarmó a los gigantes tecnológicos y generó preocupaciones sobre cómo podrían administrar la información confidencial de los usuarios.