据TechCrunch独家报道,印度著名的打车平台Rapido已经修复了一个安全问题,该问题暴露了与其用户和司机相关的个人信息。
这个漏洞是由安全研究员Renganathan P发现的,与一个旨在收集Rapido汽车三轮车用户和司机反馈的网站表单有关。该表单展示了个人的全名、电子邮件地址和电话号码,TechCrunch根据研究员提供的详细信息进行了查验。
研究人员告诉TechCrunch,暴露的数据涉及Rapido的一个API,该API旨在收集并与Rapido使用的第三方服务共享反馈表单的信息。
TechCrunch通过提交一个通用消息来验证了曝光,我们很快就看到该消息出现在曝光门户中作为一条记录。
截至周四,曝光的门户已经收到超过1800条反馈,其中包括大量司机的电话号码和较少数量的电子邮件地址,研究员说。
“这可能会导致一个涉及骗子或黑客的大规模社交工程攻击的大型骗局,或者这些电话号码和其他数据可能会被黑暗网站普遍暴露,如果落入错误的手中,”研究员告诉TechCrunch。
TechCrunch联系Rapido关于数据泄露的情况后,Rapido立即将曝光的门户设置为私密。
“作为标准操作程序,我们正在向我们的利益相关者社区征求有关我们服务的宝贵反馈。尽管这是由外部方管理的,但我们已经了解到调查链接已经传递给了一些不需要的公众用户,”Rapido CEO Aravind Sanka在一封发送给TechCrunch的声明中说。 Sanka指出,收集到的电话号码和电子邮件地址“属于非个人性质。”
