كشفت شركة Rapido الهندية عن بيانات المستخدم والسائق من خلال نموذج تعليقات موقع الويب المتسرب

قامت Rapido، وهي منصة شهيرة لنقل الركاب في الهند، بإصلاح مشكلة أمنية كشفت عن المعلومات الشخصية المرتبطة بمستخدميها وسائقيها، حسبما علمت TechCrunch حصريًا.

وكان الخلل، الذي اكتشفه الباحث الأمني ​​رينجاناثان بي، مرتبطًا بنموذج موقع ويب يهدف إلى جمع التعليقات من مستخدمي وسائقي سيارات Rapido الآلية. كشف النموذج عن الأسماء الكاملة وعناوين البريد الإلكتروني وأرقام هواتف الأفراد، والتي اطلعت عليها TechCrunch بناءً على التفاصيل التي قدمها الباحث.

أخبر الباحث موقع TechCrunch أن البيانات المكشوفة تتعلق بإحدى واجهات برمجة التطبيقات الخاصة بـ Rapido، والتي كانت تهدف إلى جمع المعلومات ومشاركتها من نموذج التعليقات مع خدمة خارجية تستخدمها Rapido.

تحققت TechCrunch من التعرض عن طريق إرسال رسالة عامة من خلال نموذج التعليقات، والتي رأيناها تظهر بعد فترة وجيزة كسجل في البوابة المكشوفة.

وقال الباحث إنه اعتبارًا من يوم الخميس، كان لدى البوابة المكشوفة أكثر من 1800 رد فعل، والتي تضمنت عددًا كبيرًا من أرقام الهواتف الخاصة بالسائقين وعددًا أقل من عناوين البريد الإلكتروني.

“كان من الممكن أن يؤدي هذا إلى عملية احتيال كبيرة تنطوي على المحتالين أو المتسللين، الذين ربما انتهى بهم الأمر إلى الاتصال بالسائقين وتنفيذ هجوم هندسة اجتماعية واسع النطاق، أو ببساطة كان من الممكن كشف أرقام الهواتف هذه والبيانات الأخرى على الويب المظلم إذا تم الوصول إليها في قال الباحث لـ TechCrunch: “الأيدي الخطأ”.

بعد وقت قصير من اتصال TechCrunch بـ Rapido بخصوص البيانات المنسكبة، قام Rapido بتعيين البوابة المكشوفة إلى خاصة.

“كإجراء تشغيلي قياسي، نحن بصدد الحصول على تعليقات قيمة من مجتمع أصحاب المصلحة لدينا بشأن خدماتنا. وقال أرافيند سانكا، الرئيس التنفيذي لشركة Rapido، في بيان أرسل عبر البريد الإلكتروني إلى TechCrunch: “بينما تتم إدارة هذا من قبل أطراف خارجية، فقد أدركنا أن روابط الاستطلاع وصلت إلى بعض المستخدمين غير المقصودين من الجمهور”. وأشار سانكا إلى أن أرقام الهواتف وعناوين البريد الإلكتروني التي تم جمعها كانت “غير شخصية بطبيعتها”.