แอปบริการเรียกแท็กซี่ที่ใหญ่ที่สุดในดูไบ เปิดเผยข้อมูลผู้ใช้งานมากกว่า 220,000 ราย

529/66 (IT) ประจำวันพฤหัสบดีที่ 14 ธันวาคม 2566

บริษัท Dubai Taxi Company เป็นผู้ให้บริการเรียกแท็กซี่รายใหญ่ที่สุดในเมืองของสหรัฐอาหรับเอมิเรตส์ โดยมีรถยนต์มากกว่า 7,000 คัน และมีพนักงานที่เป็นพันธมิตรคนขับ 14,000 คน และเป็นบริษัทในเครือของ Roads and Transport Authority ของดูไบ ได้ปล่อยข้อมูลที่มีความละเอียดอ่อนจำนวนมากจากแอปพลิเคชัน Dubai Taxi Company (DTC) โดยมีทีมนักวิจัยได้ค้นพบ ว่ามีผู้ใช้แอปมากกว่า 197,000 ราย และไดรเวอร์เกือบ 23,000 รายการถูกเปิดเผยข้อมูล    

จากข้อมูลของทีมนักวิจัยพบว่าข้อมูลที่เปิดเผยถูกจัดเก็บไว้ในฐานข้อมูล MongoDB แบบเปิด ซึ่งถูกปิดไปตั้งแต่นั้นมา ธุรกิจต่าง ๆ จ้าง MongoDB เพื่อจัดระเบียบและจัดเก็บข้อมูลเชิงเอกสารจำนวนมาก โดยแอป DTC มียอดดาวน์โหลดมากกว่า 100,000 ครั้งบน Google Play Store ซึ่งนักวิจัยเชื่อว่าฐานข้อมูลที่รั่วไหลน่าจะเป็นฐานข้อมูลการผลิตที่ใช้เพื่อวัตถุประสงค์ในการพัฒนา เนื่องจากมีข้อมูลลูกค้า บันทึก ข้อมูลระบุตัวบุคคลของผู้ขับขี่ (PII) รายละเอียดการลงทะเบียนและธนาคาร ตลอดจนรายละเอียดคำสั่งซื้อของผู้โดยสาร ข้อมูลครอบคลุมช่วงเวลาตั้งแต่ปี 2018 ถึง 2021 ข้อมูลผู้ใช้แอป DTC ที่เปิดเผย ได้แก่ ที่อยู่อีเมล หมายเลขโทรศัพท์ รุ่นโทรศัพท์ และโทเค็นของแอปสำหรับอีเมล การเข้าสู่ระบบ เซสชัน และการสมัคร โทเค็นมักจะทำหน้าที่เป็นคีย์ดิจิทัลสำหรับบัญชีผู้ใช้ ซึ่งการเปิดเผยโทเค็นอาจนำไปสู่การเข้าถึงบัญชีโดยไม่ได้รับอนุญาต นอกจากลูกค้าที่เปิดเผยเกือบ 200,00 รหัสผ่านที่เข้ารหัส หมายเลขโทรศัพท์

แหล่งข่าว https://securityaffairs.com/155695/security/dubai-taxi-company-data-leak.html