最近、一部のテクノロジー企業は、サーバーのセキュリティを確保したり、ユーザー データをプライベートに保つことよりも、ユーザー ベースを拡大する方法に関心を持っているようです。
OnePlus と Xiaomi が両方とも安全でない支払いゲートウェイを運用しているのは見てきましたが、Truecaller Pay のサーバーも少し前までは公然とアクセス可能だったことが判明しました。
Redditor
always_say_this
が報告したように、彼はいろいろいじっていたところ
、Truecaller Pay トランザクションに使用されている脆弱なサーバーに遭遇しました
。このサーバーにアクセスできるようになると、基本的に UPI ベースの Truecaller Pay を使用して完了したすべてのトランザクションを確認できるようになります。
すべてのデータにアクセス可能
しかし、最大の懸念は、各取引を確認できることではなく 、取引に関連する個人データが広く誰でもアクセスできるようになることでした。 サーバーの抜け穴を介して次の情報が表示される可能性があります。
- 送信者と受信者の UPI 仮想支払いアドレス、
- 口座番号
- 送信者の口座残高、
- トランザクションステータス – 成功または失敗、
- デバイスの詳細 – IMEI と IP アドレス
これは、昨日の夕方 Redditor から すぐに抜け穴について知らされた 同社側のセキュリティ上の重大な失敗です。
その後、Truecaller は公式声明を ( Twitter で ) 発表し 、これは「新しいサービスの実験的なプロビジョニングに使用されている」テスト サーバーにすぎず 、データは侵害されていないと述べました。
しかし、
always_says_this は
諦めるつもりはなく、サーバーはまだ稼働していると言い返しました。彼は、投稿したスクリーンショットで「本番」が強調表示されているのがはっきりと確認できるため、それがテストサーバーではないという
証拠を含めました
。そこで私たちは、この抜け穴がセキュリティに与える影響をさらに深く調査するために彼に連絡を取ることにしました。
サーバーにパッチが適用されました
私たちがこの抜け穴の影響について議論している間に、 Truecaller は脆弱性にパッチを当てたことを確認しました 。同社によれば、サーバーは実際には運用されている(つまり、すべてのサービスがサーバー上で実行されている)が、表示されるすべてのデータは現実世界のトランザクションからのものではないという。
彼らは、 これはテスト環境であると 付け加えています。これが、上に添付されたスクリーンショットの UPI ID が @icici ではなく @icicipay である主な理由です。サーバーが実際のトランザクションの詳細を表示していた場合、後者は VPA で使用されていたでしょう。 Truecaller はさらに次のように付け加えました。
@icici は Truecaller の現在のバージョンで使用されているため、@icicipay は現在テスト環境にあると言えます。アクセスするログは、まだ銀行クラスのセキュリティで強化されていない開発中のサービスに属しています。
この問題を 24 時間以内に解決した Truecaller を称賛したいと思いますが、問題は、なぜ同社がセキュリティで保護されていないサーバーで新しいサービスをテストする必要があるのかということです。この国のデジタル環境は急激に成長しているため、個人データの安全を守るためにサイバーセキュリティ基準も追いつく必要があります。幸いなことに、現在 Truecaller Pay に関して心配することは何もなく、安心してご利用いただけます。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
