- Het Indiase ride-sharingbedrijf Rapido bleek chauffeurs- en klantgegevens te lekken
- De fout vloeide voort uit een defecte API
- Het bedrijf lekte namen, e-mails en telefoonnummers
Een groot Indiaas taxiplatform maakte gevoelige gebruikersgegevens openbaar dankzij een bug in een van zijn API’s.
De fout in de systemen van Rapido werd ontdekt door beveiligingsonderzoeker Renganathan P, die beweerde dat de fout voortkwam uit een websiteformulier dat was ontworpen om feedback te verzamelen van gebruikers en chauffeurs van auto-riksja’s. Auto-riksja is een driewielig voertuig, populair in India en veel Aziatische landen.
Van gebruikers die de feedback hebben gegeven, is hun gevoelige informatie openbaar gemaakt, inclusief volledige namen, e-mailadressen en telefoonnummers.
Rapido-blootstelling
De database is gezien door TechCrunchwat de authenticiteit ervan bevestigde. De gegevens zouden worden gedeeld met een externe service, die alleen door Rapido wordt gebruikt, maar de publicatie zegt dat de database meer dan 1.800 feedbackreacties telt, met een “groot aantal” telefoonnummers van chauffeurs en een “kleiner aantal”. van e-mailadressen.
“Dit had kunnen leiden tot een grote oplichting waarbij oplichters of hackers betrokken waren, die uiteindelijk chauffeurs hadden gebeld en een grootschalige social engineering-aanval hadden uitgevoerd. de verkeerde handen,” zei Renganathan P.
De publicatie nam vervolgens contact op met Rapido, die de database afsloot en meer ongeautoriseerde toegang verhinderde. We weten niet of kwaadwillende actoren deze database in het verleden hebben gevonden, of dat de gegevens in het wild zijn misbruikt. Telefoonnummers en e-mailadressen zijn van cruciaal belang bij het uitvoeren van phishing- en identiteitsdiefstalfraude.
“Als standaardprocedure zijn we bezig met het vragen van waardevolle feedback van onze belanghebbenden over onze diensten. Hoewel dit wordt beheerd door externe partijen, zijn we tot het inzicht gekomen dat de enquêtelinks enkele onbedoelde gebruikers uit het publiek hebben bereikt”, zei Rapido-CEO Aravind Sanka in een verklaring.
Sanka voegde eraan toe dat de verzamelde telefoonnummers en e-mailadressen ‘niet-persoonlijk van aard’ waren.
