TechCrunch’ın özel olarak öğrendiğine göre, Hindistan’daki popüler bir araç çağırma platformu olan Rapido, kullanıcıları ve sürücüleri ile ilgili kişisel bilgileri açığa çıkaran bir güvenlik sorununu düzeltti.
Güvenlik araştırmacısı Renganathan P tarafından keşfedilen kusur, Rapido otomatik çekçek kullanıcıları ve sürücülerinden geri bildirim toplamayı amaçlayan bir web sitesi formuyla ilgiliydi. Formda, TechCrunch’ın araştırmacı tarafından sağlanan ayrıntılara dayanarak gördüğü kişilerin tam adları, e-posta adresleri ve telefon numaraları yer alıyordu.
Araştırmacı TechCrunch’a, açığa çıkan verilerin Rapido’nun API’lerinden birine ait olduğunu ve bunun, Rapido tarafından kullanılan üçüncü taraf bir hizmetle geri bildirim formundaki bilgileri toplamayı ve paylaşmayı amaçladığını söyledi.
TechCrunch, geri bildirim formu aracılığıyla genel bir mesaj göndererek teşhiri doğruladı; bunun kısa süre sonra açığa çıkan portalda bir kayıt olarak göründüğünü gördük.
Araştırmacı, Perşembe günü itibarıyla, açığa çıkan portalda 1.800’den fazla geri bildirim yanıtının bulunduğunu, bunların arasında sürücülere ait çok sayıda telefon numarası ve daha az sayıda e-posta adresinin bulunduğunu söyledi.
“Bu, sürücüleri arayarak büyük ölçekli bir sosyal mühendislik saldırısı gerçekleştiren dolandırıcıların veya bilgisayar korsanlarının dahil olduğu büyük bir dolandırıcılığa yol açabilir ya da sadece bu telefon numaraları ve diğer veriler, eğer onlara ulaşılırsa karanlık ağda ifşa edilebilir. Yanlış ellere geçtik,” dedi araştırmacı TechCrunch’a.
TechCrunch’ın veri sızıntısıyla ilgili olarak Rapido ile iletişime geçmesinden kısa bir süre sonra Rapido, açığa çıkan portalı özel olarak ayarladı.
“Standart bir çalışma prosedürü olarak, paydaş topluluğumuzdan hizmetlerimizle ilgili değerli geri bildirimler alma sürecindeyiz. Rapido CEO’su Aravind Sanka, TechCrunch’a e-postayla gönderilen bir açıklamada, “Bu, harici taraflar tarafından yönetilirken, anket bağlantılarının halktan bazı istenmeyen kullanıcılara ulaştığını anladık” dedi. Sanka, toplanan telefon numaralarının ve e-posta adreslerinin “doğası gereği kişisel olmadığını” belirtti.
