Applications /OS

Les données sensibles des utilisateurs de LazyPay pourraient avoir été révélées par une faille de sécurité


LazyPay, la plate-forme de crédit numérique de la société fintech basée aux Pays-Bas PayU, s’est avérée présenter une faille de sécurité qui aurait pu permettre aux pirates d’obtenir des données d’utilisateur telles que leur nom complet, leur sexe, leur date de naissance et leur numéro de téléphone, selon une sécurité chercheur. Il a déclaré que le problème avait été résolu rapidement après avoir été signalé à PayU, et la société a confirmé la vulnérabilité, mais a déclaré à Gadgets 360 qu’aucune donnée utilisateur n’avait été divulguée. Cependant, LazyPay n’a pas informé ses utilisateurs de la faille et de son correctif.

Ehraz Ahmed, basé à Bengaluru, a découvert la vulnérabilité dans LazyPay. Il a déclaré que la faille permettait aux attaquants de récupérer des informations utilisateur sensibles en utilisant le numéro de téléphone de tout utilisateur enregistré sur la plate-forme.

Après avoir obtenu le numéro de téléphone, un attaquant pourrait obtenir des données telles que le nom complet, le sexe, la date de naissance, l’adresse postale, la photo de profil, les adresses e-mail principale et secondaire et le statut de connaissance de votre client (KYC), Ahmed expliqué dans un article de blog.

Il a ajouté que le problème était vulnérable car un pirate informatique avec des compétences de programmation minimales pouvait facilement créer un programme pour récupérer une série de numéros de téléphone et les transmettre à l’API non sécurisée pour extraire des informations utilisateur sensibles de manière automatisée. Le chercheur a déclaré à Gadgets 360 qu’il avait trouvé la faille en trompant l’un des points de terminaison d’API fournis par LazyPay aux développeurs tiers.

Peu de temps après avoir découvert la vulnérabilité en octobre, Ahmed a contacté le parent de LazyPay PayU. L’entreprise a reconnu le problème et l’a résolu de manière responsable immédiatement. Ahmed a contacté Gadgets 360 avec les détails de la faille fin mai. Après avoir compris le problème, nous avons communiqué avec PayU pour obtenir plus de clarté sur la question.

Un porte-parole de PayU a signalé la faille et a également assuré à Gadgets 360 que son correctif était déjà en place.

« PayU prend la sécurité de nos systèmes et de nos données très au sérieux », a déclaré le porte-parole. «Nous effectuons en permanence des contrôles pour nous assurer que nos systèmes de paiement sont sûrs et sécurisés pour que tout le monde puisse y accéder et les utiliser. L’incident concernant la faille de sécurité avec LazyPay qui a été signalé au mois d’octobre a été immédiatement résolu. Il n’y a eu aucune fuite d’informations sur les clients en raison de cet incident.

L’entreprise n’a toutefois pas informé directement ses clients de l’incident qui avait mis leurs données personnelles en danger.

Lancé en 2017, LazyPay est une offre « acheter maintenant, payer plus tard » de PayU pour permettre aux clients de rembourser leurs commandes en ligne par versements. La plate-forme est revendiqué être accepté sur plus de 250 sites Web et applications, y compris RéserverMonShow, Flipkart, FaireMonVoyage, et Swiggy.

LazyPay propose également des prêts personnels jusqu’à Rs. 1 lakh grâce à un processus numérique. Les clients qui s’inscrivent sur la plateforme sont tenus de fournir leurs pièces d’identité avec photo telles que PAN ou Aadhaar, ainsi que leurs coordonnées bancaires et un selfie.


Intéressé par la crypto-monnaie ? Nous discutons de tout ce qui concerne la cryptographie avec le PDG de WazirX, Nischal Shetty, et le fondateur de WeekendInvesting, Alok Jain, sur Orbital, le podcast Gadgets 360. Orbital est disponible sur Podcasts Apple, Google Podcasts, Spotify, Amazon Musique et partout où vous obtenez vos podcasts.

.



Source link

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *