LazyPay Security Flaw, Now Fixed, Could Have Been Used to Acquire Sensitive User Information
नीदरलैंड स्थित फिनटेक कंपनी PayU के डिजिटल क्रेडिट प्लेटफॉर्म LazyPay में एक सुरक्षा खामी पाई गई, जो हैकर्स को एक सुरक्षा के अनुसार उनका पूरा नाम, लिंग, जन्म तिथि और फोन नंबर जैसे उपयोगकर्ता डेटा प्राप्त करने की अनुमति दे सकती थी। शोधकर्ता। उन्होंने कहा कि PayU को रिपोर्ट किए जाने के बाद इस मुद्दे को जल्दी से हल किया गया था, और कंपनी ने भेद्यता की पुष्टि की लेकिन गैजेट्स 360 को बताया कि कोई उपयोगकर्ता डेटा लीक नहीं हुआ था। हालांकि, LazyPay ने अपने यूजर्स को इस खामी और इसे ठीक करने की जानकारी नहीं दी है।
बेंगलुरू के एहराज अहमद ने खोजा था भेद्यता आलसी भुगतान. उन्होंने कहा कि दोष ने हमलावरों को प्लेटफॉर्म पर किसी भी पंजीकृत उपयोगकर्ता के फोन नंबर का उपयोग करके संवेदनशील उपयोगकर्ता जानकारी प्राप्त करने की अनुमति दी।
फोन नंबर प्राप्त करने पर, एक हमलावर को पूरा नाम, लिंग, जन्म तिथि, डाक पता, प्रोफ़ाइल चित्र, प्राथमिक और द्वितीयक ईमेल पते, और अपने ग्राहक को जानें (केवाईसी) स्थिति, अहमद जैसे डेटा मिल सकते हैं। व्याख्या की एक ब्लॉग पोस्ट में।
उन्होंने कहा कि यह मुद्दा कमजोर था क्योंकि न्यूनतम प्रोग्रामिंग कौशल वाला एक हैकर आसानी से फोन नंबरों की एक श्रृंखला लाने के लिए एक प्रोग्राम बना सकता है और संवेदनशील उपयोगकर्ता जानकारी को स्वचालित तरीके से निकालने के लिए असुरक्षित एपीआई को पास कर सकता है। शोधकर्ता ने गैजेट्स 360 को बताया कि उसने तीसरे पक्ष के डेवलपर्स को LazyPay द्वारा प्रदान किए गए API समापन बिंदुओं में से एक को धोखा देकर दोष पाया।
अक्टूबर में भेद्यता का पता लगाने के कुछ ही समय बाद, अहमद LazyPay माता-पिता के पास पहुंचा पेयू. कंपनी ने इस मुद्दे को स्वीकार किया और जिम्मेदारी से इसे तुरंत ठीक कर दिया। अहमद मई के अंत में इस खामी के बारे में विवरण के साथ गैजेट्स 360 तक पहुंचे। इस मुद्दे को समझने के बाद, हमने मामले पर और स्पष्टता प्राप्त करने के लिए PayU से संपर्क किया।
एक PayU प्रवक्ता ने दोष दिया और गैजेट्स 360 को यह भी आश्वासन दिया कि इसका फिक्स पहले से ही था।
“PayU हमारे सिस्टम और हमारे डेटा की सुरक्षा को बहुत गंभीरता से लेता है,” प्रवक्ता ने कहा। “हम यह सुनिश्चित करने के लिए लगातार चेक चला रहे हैं कि हमारी भुगतान प्रणाली सुरक्षित है और सभी के उपयोग और उपयोग के लिए सुरक्षित है। अक्टूबर के महीने में रिपोर्ट की गई LazyPay के साथ सुरक्षा अंतराल के संबंध में घटना को तुरंत हल कर लिया गया था। इस घटना के कारण ग्राहक की जानकारी का कोई रिसाव नहीं हुआ।
हालाँकि, कंपनी ने अपने ग्राहकों को सीधे उस घटना के बारे में सूचित नहीं किया जिसने उनके व्यक्तिगत डेटा को जोखिम में डाल दिया था।
2017 में वापस लॉन्च किया गया, LazyPay PayU द्वारा “अभी खरीदें, बाद में भुगतान करें” की पेशकश के रूप में आता है ताकि ग्राहकों को किश्तों के माध्यम से अपने ऑर्डर के लिए ऑनलाइन भुगतान कर सकें। मंच है दावा किया 250 से अधिक वेबसाइटों और ऐप्स में स्वीकार किए जाने के लिए, जिनमें शामिल हैं मेरा शो बुक करें, Flipkart, मेकमाईट्रिप, तथा Swiggy.
LazyPay रुपये तक का व्यक्तिगत ऋण भी प्रदान करता है। एक डिजिटल प्रक्रिया के माध्यम से 1 लाख। प्लेटफॉर्म पर साइन अप करने वाले ग्राहकों को अपने बैंक विवरण और एक सेल्फी के साथ अपना फोटो आईडी प्रमाण जैसे पैन या आधार प्रदान करना आवश्यक है।
.
