شرکت راپیدو (Rapido)، یکی از پلتفرمهای محبوب حملونقل در هند، یک نقص امنیتی را که باعث افشای اطلاعات شخصی کاربران و رانندگان شده بود، برطرف کرده است. این مشکل که توسط محقق امنیتی رنگاناتان پی (Renganathan P) کشف شد، به فرم بازخورد وبسایتی مربوط میشد که برای جمعآوری نظرات کاربران و رانندگان طراحی شده بود.
جزئیات کلیدی:
- افشای اطلاعات: این نقص منجر به افشای نام کامل، آدرسهای ایمیل و شماره تلفن افراد شد. این اطلاعات از طریق یک API که دادههای فرم بازخورد را به یک سرویس شخص ثالث منتقل میکرد، در دسترس بود.
- تأیید افشا: وبسایت تککرانچ (TechCrunch) این مشکل را با ارسال یک پیام آزمایشی تأیید کرد. پیام ارسالشده بهسرعت در پورتالی قابل مشاهده بود که دادهها را در معرض دید عموم قرار میداد.
- حجم دادههای افشا شده: بیش از ۱۸۰۰ پاسخ بازخورد، شامل تعداد زیادی شماره تلفن رانندگان و تعداد کمتری آدرس ایمیل، بهصورت عمومی در دسترس بودند.
- خطرات احتمالی: این افشا میتوانست زمینهساز حملات مهندسی اجتماعی یا سوءاستفاده از دادهها در فضای دارک وب (Dark Web) باشد.
اقدامات انجامشده:
- واکنش راپیدو (Rapido): این شرکت پس از اطلاعرسانی تککرانچ (TechCrunch)، پورتال مربوطه را خصوصی کرد. آراویند سانکا (Aravind Sanka)، مدیرعامل راپیدو، در بیانیهای اعلام کرد که مدیریت بازخورد توسط یک شرکت ثالث انجام شده و برخی از لینکهای نظرسنجی بهطور ناخواسته در دسترس عموم قرار گرفتهاند. وی تأکید کرد که اطلاعات جمعآوریشده «غیرشخصی» بودهاند.
این حادثه اهمیت ایمنسازی APIها و مدیریت مسئولانه یکپارچگی سرویسهای شخص ثالث را برای پلتفرمهایی که با دادههای حساس سر و کار دارند، نشان میدهد.