Rapido, uma plataforma popular de carona na Índia, corrigiu um problema de segurança que expunha informações pessoais associadas a seus usuários e motoristas, descobriu exclusivamente o TechCrunch.
A falha, descoberta pelo pesquisador de segurança Renganathan P, estava relacionada a um formulário de site destinado a coletar feedback de usuários do Rapido e motoristas de riquixás. O formulário apresentava nomes completos, endereços de e-mail e números de telefone das pessoas, que o TechCrunch visualizou com base nos detalhes fornecidos pelo pesquisador.
O pesquisador disse ao TechCrunch que os dados expostos pertenciam a uma das APIs do Rapido, que tinha como objetivo coletar e compartilhar informações de formulários de feedback com um serviço terceirizado usado pelo Rapido.
O TechCrunch verificou a exposição enviando uma mensagem genérica através do formulário de feedback, que vimos aparecer logo depois como registro no portal exposto.
Até quinta-feira, o portal exposto tinha mais de 1.800 respostas a comentários, incluindo um grande número de números de telefone de motoristas e um número menor de endereços de e-mail, disse o pesquisador.
“Isso poderia ter levado a um grande golpe envolvendo golpistas ou hackers, que poderiam ter acabado ligando para os motoristas e conduzindo um ataque de engenharia social em grande escala, ou simplesmente esses números de telefone e outros dados poderiam ter sido expostos na dark web se fossem expostos. caiu em mãos erradas”, disse o pesquisador ao TechCrunch.
Pouco depois de o TechCrunch entrar em contato com o Rapido sobre a violação de dados, o Rapido definiu o portal exposto como privado.
“Como procedimento operacional padrão, estamos solicitando feedback valioso de nossa comunidade de partes interessadas sobre nossos serviços. Embora isso seja gerenciado por terceiros, entendemos que os links da pesquisa alcançaram alguns usuários indesejados do público”, disse Aravind Sanka, CEO da Rapido, em comunicado enviado por e-mail ao TechCrunch. Sanka comentou que os números de telefone e endereços de e-mail coletados eram de “natureza não pessoal”.
