Indijos „Rapido“ naudotojų ir vairuotojų duomenis atskleidė per nesandarią svetainės atsiliepimų formą
„Rapido“, populiari pavėžėjimo platforma Indijoje, išsprendė saugos problemą, dėl kurios atskleidė asmeninę informaciją, susijusią su jos vartotojais ir vairuotojais, „TechCrunch“ išskirtinai sužinojo.
Saugumo tyrinėtojo Renganathano P aptiktas trūkumas buvo susijęs su svetainės forma, skirta rinkti atsiliepimus iš „Rapido“ automobilių rikšų naudotojų ir vairuotojų. Formoje buvo pateikti pilni asmenų vardai, el. pašto adresai ir telefonų numeriai, kuriuos „TechCrunch“ matė remdamasi tyrėjo pateikta informacija.
Tyrėjas sakė „TechCrunch“, kad atskleisti duomenys buvo susiję su viena iš „Rapido“ API, kuri buvo skirta rinkti ir dalytis informacija iš atsiliepimų formos su „Rapido“ naudojama trečiosios šalies paslauga.
„TechCrunch“ patvirtino parodymą, pateikdama bendrąjį pranešimą naudodami atsiliepimų formą, kurią netrukus pamatėme kaip įrašą atskleistame portale.
Ketvirtadienį atskleistame portale buvo pateikta daugiau nei 1800 atsiliepimų, tarp kurių buvo daug vairuotojams priklausančių telefonų numerių ir mažiau el. pašto adresų, sakė mokslininkas.
„Tai galėjo sukelti didelę aferą, kurioje dalyvavo sukčiai ar įsilaužėliai, kurie galėjo paskambinti vairuotojams ir įvykdyti didelio masto socialinės inžinerijos ataką, arba tiesiog šie telefonų numeriai ir kiti duomenys galėjo būti atskleisti tamsiajame žiniatinklyje, jei buvo pasiekti netinkamos rankos“, – „TechCrunch“ sakė tyrėjas.
Netrukus po to, kai „TechCrunch“ susisiekė su „Rapido“ dėl išsiliejusių duomenų, „Rapido“ nustatė atvirą portalą kaip privatų.
„Kaip įprasta veiklos procedūra, mes šiuo metu prašome suinteresuotųjų šalių bendruomenės vertingų atsiliepimų apie mūsų paslaugas. Nors tai tvarko išorinės šalys, supratome, kad apklausos nuorodos pasiekė kai kuriuos nenumatytus vartotojus iš visuomenės“, – rašoma „Rapido“ generalinio direktoriaus Aravindo Sankos pranešime, atsiųstame „TechCrunch“. Sanka pažymėjo, kad surinkti telefono numeriai ir elektroninio pašto adresai buvo „neasmeninio pobūdžio“.