Wie Tech exklusiv erfahren hat, hat Rapido, eine beliebte Ride-Hailing-Plattform in Indien, ein Sicherheitsproblem behoben, durch das personenbezogene Daten seiner Benutzer und Fahrer preisgegeben wurden.
Der vom Sicherheitsforscher Renganathan P entdeckte Fehler stand im Zusammenhang mit einem Website-Formular, das dazu dienen sollte, Feedback von Rapido-Autorikscha-Benutzern und -Fahrern zu sammeln. Das Formular enthielt die vollständigen Namen, E-Mail-Adressen und Telefonnummern von Personen, die Tech anhand der vom Forscher bereitgestellten Angaben gesehen hatte.
Der Forscher teilte Tech mit, dass die offengelegten Daten zu einer der APIs von Rapido gehörten, die dazu gedacht war, Informationen aus dem Feedback-Formular zu sammeln und mit einem von Rapido genutzten Drittanbieterdienst zu teilen.
Tech verifizierte die Enthüllung, indem es über das Feedback-Formular eine allgemeine Nachricht übermittelte, die wir kurz darauf als Eintrag im entlarvten Portal sahen.
Bis Donnerstag hatte das offengelegte Portal über 1.800 Feedback-Antworten, darunter eine große Anzahl von Telefonnummern von Fahrern und eine geringere Anzahl von E-Mail-Adressen, sagte der Forscher.
„Dies hätte zu einem großen Betrug führen können, an dem Betrüger oder Hacker beteiligt waren, die am Ende möglicherweise Fahrer anriefen und einen groß angelegten Social-Engineering-Angriff durchführten, oder einfach, dass diese Telefonnummern und andere Daten im Dark Web offengelegt worden wären, wenn man sie erreicht hätte.“ in die falschen Hände“, sagte der Forscher gegenüber Tech.
Kurz nachdem Tech Rapido wegen der Datenweitergabe kontaktiert hatte, stellte Rapido das offengelegte Portal auf privat.
„Als Standardarbeitsanweisung sind wir dabei, wertvolles Feedback von unserer Stakeholder-Community zu unseren Dienstleistungen einzuholen. Während dies von externen Parteien verwaltet wird, haben wir festgestellt, dass die Umfragelinks einige unbeabsichtigte Benutzer aus der Öffentlichkeit erreicht haben“, sagte Aravind Sanka, CEO von Rapido, in einer per E-Mail an Tech gesendeten Erklärung. Sanka bemerkte, dass die gesammelten Telefonnummern und E-Mail-Adressen „nicht personenbezogener Natur“ seien.