افشای اطلاعات کاربران و رانندگان راپیدو (Rapido) به دلیل نقص امنیتی

افشای اطلاعات کاربران و رانندگان راپیدو (Rapido) به دلیل نقص امنیتی

شرکت راپیدو (Rapido)، یکی از پلتفرم‌های محبوب حمل‌ونقل در هند، یک نقص امنیتی را که باعث افشای اطلاعات شخصی کاربران و رانندگان شده بود، برطرف کرده است. این مشکل که توسط محقق امنیتی رنگاناتان پی (Renganathan P) کشف شد، به فرم بازخورد وب‌سایتی مربوط می‌شد که برای جمع‌آوری نظرات کاربران و رانندگان طراحی شده بود.

جزئیات کلیدی:

  • افشای اطلاعات: این نقص منجر به افشای نام کامل، آدرس‌های ایمیل و شماره تلفن افراد شد. این اطلاعات از طریق یک API که داده‌های فرم بازخورد را به یک سرویس شخص ثالث منتقل می‌کرد، در دسترس بود.
  • تأیید افشا: وب‌سایت تک‌کرانچ (TechCrunch) این مشکل را با ارسال یک پیام آزمایشی تأیید کرد. پیام ارسال‌شده به‌سرعت در پورتالی قابل مشاهده بود که داده‌ها را در معرض دید عموم قرار می‌داد.
  • حجم داده‌های افشا شده: بیش از ۱۸۰۰ پاسخ بازخورد، شامل تعداد زیادی شماره تلفن رانندگان و تعداد کمتری آدرس ایمیل، به‌صورت عمومی در دسترس بودند.
  • خطرات احتمالی: این افشا می‌توانست زمینه‌ساز حملات مهندسی اجتماعی یا سوءاستفاده از داده‌ها در فضای دارک وب (Dark Web) باشد.

اقدامات انجام‌شده:

  • واکنش راپیدو (Rapido): این شرکت پس از اطلاع‌رسانی تک‌کرانچ (TechCrunch)، پورتال مربوطه را خصوصی کرد. آراویند سانکا (Aravind Sanka)، مدیرعامل راپیدو، در بیانیه‌ای اعلام کرد که مدیریت بازخورد توسط یک شرکت ثالث انجام شده و برخی از لینک‌های نظرسنجی به‌طور ناخواسته در دسترس عموم قرار گرفته‌اند. وی تأکید کرد که اطلاعات جمع‌آوری‌شده «غیرشخصی» بوده‌اند.

این حادثه اهمیت ایمن‌سازی API‌ها و مدیریت مسئولانه یکپارچگی سرویس‌های شخص ثالث را برای پلتفرم‌هایی که با داده‌های حساس سر و کار دارند، نشان می‌دهد.