Rapido, platform pemesanan kendaraan yang populer di India, telah memperbaiki masalah keamanan yang mengungkap informasi pribadi yang terkait dengan pengguna dan pengemudinya, seperti yang dipelajari secara eksklusif oleh TechCrunch.
Cacat tersebut, ditemukan oleh peneliti keamanan Renganathan P, terkait dengan formulir situs web yang dimaksudkan untuk mengumpulkan umpan balik dari pengguna dan pengemudi becak Rapido. Formulir tersebut memperlihatkan nama lengkap, alamat email, dan nomor telepon individu, yang dilihat TechCrunch berdasarkan rincian yang diberikan oleh peneliti.
Peneliti mengatakan kepada TechCrunch bahwa data yang terekspos berkaitan dengan salah satu API Rapido, yang dimaksudkan untuk mengumpulkan dan berbagi informasi dari formulir umpan balik dengan layanan pihak ketiga yang digunakan oleh Rapido.
TechCrunch memverifikasi paparan tersebut dengan mengirimkan pesan umum melalui formulir umpan balik, yang kami lihat segera muncul sebagai catatan di portal yang terbuka.
Pada hari Kamis, portal yang terekspos tersebut memiliki lebih dari 1.800 tanggapan umpan balik, yang mencakup sejumlah besar nomor telepon milik pengemudi dan sejumlah kecil alamat email, kata peneliti.
“Hal ini dapat menyebabkan penipuan besar-besaran yang melibatkan penipu atau peretas, yang mungkin akhirnya menelepon pengemudi dan melakukan serangan rekayasa sosial berskala besar, atau sekadar nomor telepon dan data lainnya dapat terekspos di web gelap jika diketahui orang lain. tangan yang salah,” kata peneliti kepada TechCrunch.
Segera setelah TechCrunch menghubungi Rapido tentang kebocoran data, Rapido mengatur portal yang terbuka menjadi pribadi.
“Sebagai prosedur operasi standar, kami sedang dalam proses meminta umpan balik yang berharga dari komunitas pemangku kepentingan mengenai layanan kami. Meskipun ini dikelola oleh pihak eksternal, kami memahami bahwa tautan survei telah menjangkau beberapa pengguna publik yang tidak diinginkan, ”kata CEO Rapido Aravind Sanka dalam sebuah pernyataan yang dikirim melalui email ke TechCrunch. Sanka mengatakan bahwa nomor telepon dan alamat email yang dikumpulkan “bersifat non-pribadi.”
