Rapido, популярная платформа для заказа такси в Индии, устранила проблему безопасности, из-за которой раскрывалась личная информация, связанная с ее пользователями и водителями, как стало известно TechCrunch.
Уязвимость, обнаруженная исследователем безопасности Ренганатаном П., была связана с формой веб-сайта, предназначенной для сбора отзывов от пользователей и водителей авторикш Rapido. В форме были указаны полные имена, адреса электронной почты и номера телефонов отдельных лиц, которые TechCrunch увидел на основе данных, предоставленных исследователем.
Исследователь сообщил TechCrunch, что раскрытые данные относятся к одному из API-интерфейсов Rapido, который предназначен для сбора и обмена информацией из формы обратной связи со сторонним сервисом, используемым Rapido.
TechCrunch проверил раскрытие, отправив общее сообщение через форму обратной связи, которое, как мы увидели, вскоре появилось в виде записи на открытом портале.
По данным исследователя, по состоянию на четверг на раскрытом портале было более 1800 ответов, в том числе большое количество телефонных номеров, принадлежащих водителям, и меньшее количество адресов электронной почты.
«Это могло привести к крупному мошенничеству с участием мошенников или хакеров, которые могли в конечном итоге позвонить водителям и провести крупномасштабную атаку с помощью социальной инженерии, или просто эти номера телефонов и другие данные могли быть раскрыты в даркнете, если к ним удалось получить доступ в Интернете. не в тех руках», — рассказал исследователь TechCrunch.
Вскоре после того, как TechCrunch связался с Rapido по поводу утечки данных, Rapido сделал открытый портал частным.
«В соответствии со стандартной рабочей процедурой мы собираем ценные отзывы от нашего сообщества заинтересованных сторон о наших услугах. Хотя этим управляют внешние стороны, мы пришли к пониманию, что ссылки на опросы дошли до некоторых непреднамеренных пользователей из числа общественности», — заявил генеральный директор Rapido Аравинд Санка в заявлении, отправленном TechCrunch по электронной почте. Санька отметил, что собранные номера телефонов и адреса электронной почты «носят неличный характер».
