La plataforma india de salones de belleza en el hogar, Yes Madam, expuso los datos confidenciales de sus clientes y trabajadores debido a una configuración incorrecta del lado del servidor.
Yes Madam, con sede en Noida, opera en más de 30 ciudades del país, según el sitio web de la empresa. La plataforma ofrece servicios de salón en el hogar, que incluyen terapias, masajes, spa y peluquería masculina. Las aplicaciones móviles de Yes Madam también atrajeron más de un millón de descargas.
Pero la puesta en marcha dejó una base de datos que contenía nombres completos, números de teléfono móvil, direcciones postales y direcciones de correo electrónico de cientos de miles de clientes de Yes Madam conectados a Internet sin contraseña desde al menos el 20 de febrero. La base de datos también incluía datos de ubicación de los clientes, incluido su valores de latitud y longitud, así como enlaces de pago y detalles del dispositivo del usuario, como los nombres de los modelos y los números IMEI.
Además, la startup expuso imágenes de perfil, nombres y números de teléfono móvil de trabajadores temporales en la plataforma.
investigador de seguridad anurag sen de CloudDefense.ai encontró la base de datos expuesta y le pidió a TechCrunch que ayudara a reportarlo a la startup.
Cualquiera que esté familiarizado con la dirección IP de la base de datos podría acceder a los datos derramados debido a la mala configuración usando solo su navegador web. Sen dijo que la base de datos tenía entradas de más de 900.000 usuarios.
Sí, señora aseguró la base de datos el viernes, poco después de que TechCrunch se comunicara con los detalles. La cofundadora de Yes Madam, Mayank Arya, confirmó a TechCrunch que había implementado una solución.
Cuando se le preguntó si Yes Madam tenía los medios técnicos, como registros, para determinar si alguien más accedió a los datos expuestos, Arya no hizo más comentarios.
Sen también informó al equipo de respuesta a emergencias informáticas de la India CERT-In, la agencia líder para el manejo de problemas de ciberseguridad en el país, sobre la exposición de datos.