Индийский стартап KiranaPro, занимающийся доставкой продуктов, был взломан, а все данные компании уничтожены, подтвердил основатель проекта TechCrunch. Об этом сообщил соучредитель и CEO компании Дипак Равиндра.
Утечка затронула код приложения, серверы с конфиденциальной информацией клиентов, включая имена, адреса и платежные данные. Приложение остается доступным, но не может обрабатывать заказы.
Стартап, запущенный в декабре 2024 года, работает как платформа для покупок в рамках государственной сети Open Network for Digital Commerce, позволяя клиентам заказывать товары из местных магазинов. По данным компании, у KiranaPro 55 000 пользователей, из которых 30 000–35 000 активны в 50 городах, ежедневно оформляя около 2000 заказов. Особенность сервиса — голосовой интерфейс на хинди, тамильском, малаялам и английском. Планы по расширению до 100 городов в течение 100 дней были прерваны инцидентом.
27 мая команда обнаружила взлом при попытке входа в аккаунт AWS. Злоумышленники получили доступ к корневым учетным записям AWS и GitHub, удалив данные, включая сервисы EC2, что сделало невозможным восстановление логов. CTO стартапа Саурав Кумар уточнил, что взлом произошел 24–25 мая.
Компания использовала Google Authenticator для MFA, но при попытке входа обнаружила, что коды аутентификации изменились, а EC2-сервисы были стерты. Доступ остался только через IAM, но без возможности просмотра логов. KiranaPro обратилась в поддержку GitHub для отслеживания IP-адресов хакеров и подала иск против бывшего сотрудника, чьи учетные данные, по словам CEO, не были отозваны.
Инцидент напоминает крупные кибератаки последних лет, такие как взломы LastPass, Change Healthcare и Snowflake, где причиной стала кража учетных данных из-за отсутствия MFA или устаревших аккаунтов сотрудников. Компании обязаны обеспечивать безопасность своих систем, включая принудительное использование MFA и удаление учетных записей уволенных сотрудников.
KiranaPro поддерживается фондами Blume Ventures, Unpopular Ventures, Turbostart, а также инвесторами, включая олимпийскую медалистку П.В. Синдху. В штате стартапа 15 сотрудников в Бангалоре и Керале.