La plate-forme indienne de salon à domicile Yes Madam a exposé les données sensibles de ses clients et de ses employés en raison d’une mauvaise configuration côté serveur.
Yes Madam, basée à Noida, opère dans plus de 30 villes du pays, selon le site Web de l’entreprise. La plate-forme propose des services de salon à domicile, notamment des thérapies, des massages, un spa et des soins pour hommes. Les applications mobiles de Yes Madam ont également attiré plus d’un million de téléchargements.
Mais la startup a laissé une base de données contenant les noms complets, numéros de téléphone portable, adresses postales et adresses e-mail de centaines de milliers de clients Yes Madam connectés à Internet sans mot de passe depuis au moins le 20 février. La base de données comprenait également les données de localisation des clients, y compris leur les valeurs de latitude et de longitude, ainsi que les liens de paiement et les détails de l’appareil de l’utilisateur, tels que les noms de modèle et les numéros IMEI.
De plus, la startup a exposé des images de profil, des noms et des numéros de portable de travailleurs de concert sur la plate-forme.
Chercheur en sécurité Anurag Sen de CloudDefense.ai a trouvé la base de données exposée et a demandé à TechCrunch de l’aider à la signaler à la startup.
Toute personne connaissant l’adresse IP de la base de données pourrait accéder aux données renversées en raison de la mauvaise configuration en utilisant uniquement son navigateur Web. Sen a déclaré que la base de données contenait des entrées de plus de 900 000 utilisateurs.
Oui, Madame a sécurisé la base de données vendredi, peu de temps après que TechCrunch a fourni des détails. La co-fondatrice de Yes Madam Mayank Arya a confirmé à TechCrunch avoir mis en place un correctif.
Lorsqu’on lui a demandé si Yes Madam disposait des moyens techniques, tels que des journaux, pour déterminer si les données exposées avaient été consultées par quelqu’un d’autre, Arya n’a pas fait d’autres commentaires.
Sen a également informé l’équipe indienne d’intervention d’urgence informatique CERT-In, l’agence principale chargée de gérer les problèmes de cybersécurité dans le pays, de l’exposition des données.