Wie TechCrunch exklusiv erfahren hat, hat Rapido, eine beliebte Ride-Hailing-Plattform in Indien, ein Sicherheitsproblem behoben, durch das personenbezogene Daten seiner Benutzer und Fahrer preisgegeben wurden.
Der vom Sicherheitsforscher Renganathan P entdeckte Fehler stand im Zusammenhang mit einem Website-Formular, mit dem Feedback von Benutzern und Fahrern von Rapido-Autorikschas gesammelt werden sollte. Das Formular enthüllte die vollständigen Namen, E-Mail-Adressen und Telefonnummern der Personen, die TechCrunch anhand der vom Forscher bereitgestellten Angaben sah.
Der Forscher teilte TechCrunch mit, dass die offengelegten Daten zu einer der APIs von Rapido gehörten, die dazu gedacht war, Feedback-Formularinformationen zu sammeln und mit einem von Rapido genutzten Drittanbieterdienst zu teilen.
TechCrunch verifizierte die Enthüllung, indem es eine allgemeine Nachricht über das Feedback-Formular verschickte, die wir kurz darauf als Eintrag auf dem entlarvten Portal sehen konnten.
Bis Donnerstag hatte das offengelegte Portal mehr als 1.800 Feedback-Antworten, darunter eine große Anzahl von Telefonnummern von Fahrern und eine kleinere Anzahl von E-Mail-Adressen, sagte der Forscher.
„Dies hätte zu einem großen Betrug führen können, an dem Betrüger oder Hacker beteiligt waren, die am Ende möglicherweise Fahrer angerufen und einen groß angelegten Social-Engineering-Angriff durchgeführt hätten, oder einfach, wenn diese Telefonnummern und andere Daten erreicht worden wären, wären sie im Dark Web offengelegt worden.“ in den falschen Händen“, sagte der Forscher gegenüber TechCrunch.
Kurz nachdem TechCrunch Rapido wegen des Datenlecks kontaktiert hatte, stellte Rapido das offengelegte Portal auf privat.
„Als Standardverfahren holen wir von unserer Stakeholder-Community wertvolles Feedback zu unseren Dienstleistungen ein. Obwohl dies von einem Dritten verwaltet wird, gehen wir davon aus, dass die Umfragelinks einige unbeabsichtigte Mitglieder der Öffentlichkeit erreicht haben“, sagte Aravind Sanka, CEO von Rapido, in einer per E-Mail an TechCrunch gesendeten Erklärung. Sanka stellte fest, dass die gesammelten Telefonnummern und E-Mail-Adressen „nicht personenbezogener Natur“ seien.
