WeWork India a corrigé une faille de sécurité qui exposait les informations personnelles et les selfies de dizaines de milliers de personnes qui ont visité les espaces de coworking de WeWork India.
Chercheur en sécurité Sandeep Hodkasia a trouvé des données sur les visiteurs provenant de l’application d’enregistrement sur le site Web de WeWork India, utilisées par les visiteurs pour se connecter dans les dizaines de sites WeWork India à travers le pays. Un bogue dans l’application signifiait qu’il était possible d’accéder à l’enregistrement d’enregistrement de n’importe quel visiteur en augmentant ou en diminuant l’ID utilisateur séquentiel de l’utilisateur d’un seul chiffre.
Étant donné que l’outil d’enregistrement était accessible sur Internet, le bogue permettait à quiconque sur Internet de parcourir des milliers d’enregistrements, exposant des noms, des numéros de téléphone, des adresses e-mail et des selfies. Hodkasia a déclaré qu’il n’y avait pas de contrôles évidents en place pour empêcher quelqu’un d’accéder aux données en masse.
Aucune des données n’a été cryptée.
Hodkasia a décrit le bogue à TechCrunch, qui a reproduit et confirmé ses découvertes, et a transmis les informations à WeWork India.
Lorsqu’elle a été contactée par e-mail, la porte-parole de WeWork India, Apoorva Verma, a confirmé que son site Web « comportait un bogue qui permettait un accès involontaire aux informations de base sur les visiteurs ». L’application d’enregistrement a été retirée du site Web peu de temps après que TechCrunch a contacté l’entreprise. Selon Verma, WeWork India est « en train de faire la transition de notre site Web » et que ses récents changements « atténuent » l’exposition.
On ne sait pas exactement combien d’informations sur les visiteurs ont été exposées ni pendant combien de temps.
Lorsqu’on lui a demandé s’il était prévu d’informer ceux dont les informations ont été exposées, le porte-parole de WeWork India, Sweta Nair, n’a pas répondu. (Les nouvelles règles indiennes de signalement des violations de données, qui obligent les entreprises à informer les autorités d’une violation de données dans les six heures suivant leur découverte, n’ont pas encore pris effet, suite à un retard dans le déploiement des règles.)
WeWork India rejoint un groupe d’entreprises et d’organisations indiennes au cours de l’année écoulée en proie à une défaillance de la cybersécurité. En 2020, au plus fort de la pandémie de COVID-19, le plus grand réseau cellulaire indien Jio a exposé une base de données contenant les résultats d’un vérificateur de symptômes d’auto-test de coronavirus sur son site Web. Plus tôt cette année, la Central Industrial Security Force indienne a laissé une base de données remplie de journaux de réseau exposés à Internet, permettant à quiconque d’accéder directement aux fichiers internes sur le réseau interne de CISF. Et, en juin, TechCrunch a signalé le dernier déversement de chiffres Aadhaar impliquant potentiellement des millions d’agriculteurs indiens, grâce à une faille de sécurité à l’agence gouvernementale PM-Kisan.
Lire la suite:
Pour entrer en contact avec le bureau de sécurité, vous pouvez envoyer un message sur Signal au +1 646-755-8849 ou [email protected] par e-mail.