インドの在宅サロン プラットフォーム はい Madam は、サーバー側の構成ミスにより、顧客とギグ ワーカーの機密データを公開しました。
ノイダを拠点とする Yes Madam は、国内の 30 以上の都市で事業を展開しています。 によると 同社のウェブサイトへ。 このプラットフォームは、セラピー、マッサージ、スパ、男性の身だしなみなど、自宅でサロン サービスを提供します。 Yes Madam のモバイル アプリも 100 万回以上ダウンロードされました。
しかし、このスタートアップは、少なくとも 2 月 20 日以降、パスワードなしでインターネットに接続した何十万人もの Yes Madam の顧客のフルネーム、携帯電話番号、郵送先住所、電子メール アドレスを含むデータベースを残しました。データベースには、顧客の位置データも含まれていました。緯度と経度の値、支払いリンク、モデル名や IMEI 番号などのユーザー デバイスの詳細。
さらに、このスタートアップは、プラットフォーム上のギグ ワーカーのプロフィール画像、名前、携帯電話番号を公開しました。
セキュリティ研究者 アヌラグセン の CloudDefense.ai 公開されたデータベースを見つけ、TechCrunch にスタートアップへの報告を手伝ってくれるよう依頼した。
データベースの IP アドレスを知っている人なら誰でも、Web ブラウザーだけを使用して、設定ミスにより流出したデータにアクセスできます。 Sen 氏によると、データベースには 900,000 人を超えるユーザーのエントリがありました。
はいマダムは、TechCrunch が詳細を連絡した直後の金曜日にデータベースを保護しました。 はい、Madam の共同設立者である Mayank Arya 氏は TechCrunch に対して、修正を行ったことを確認しました。
公開されたデータが他の誰かによってアクセスされたかどうかを判断するために、Yes Madam がログなどの技術的手段を持っているかどうか尋ねられたとき、Arya はそれ以上コメントしませんでした。
セン氏はまた、インドのコンピューター緊急対応チーム CERT-In にデータ漏洩について通知しました。