- Se descubrió que la empresa india de viajes compartidos Rapido filtraba datos de conductores y clientes
- La falla se debió a una interfaz de programación de aplicaciones (API) defectuosa.
- La empresa filtraba nombres, direcciones de correo electrónico y números de teléfono.
Una importante plataforma india de transporte compartido expuso datos confidenciales de los usuarios gracias a una falla en una de sus API.
La falla en los sistemas de Rapido fue descubierta por el investigador de seguridad Renganathan P, quien afirmó que se debía a una plantilla de sitio web diseñada para recopilar comentarios de los usuarios y conductores de auto-rickshaw. Un auto rickshaw es un vehículo de tres ruedas, muy popular en la India y en muchos países asiáticos.
Los usuarios que proporcionaron comentarios vieron su información confidencial revelada al público, incluidos nombres completos, direcciones de correo electrónico y números de teléfono.
exposición rápida
La base de datos ha sido consultada por TechCrunchlo que confirmó su autenticidad. Se suponía que los datos se compartirían con un servicio externo, utilizado sólo por Rapido, pero la publicación dice que la base de datos contiene más de 1.800 respuestas a comentarios, con una “gran cantidad” de números de teléfono de los conductores y “una cantidad menor”. De direcciones de correo electrónico.
“Esto podría haber dado lugar a una estafa importante que involucrara a estafadores o piratas informáticos, que podrían haber terminado contactando a los conductores y llevando a cabo un ataque de ingeniería social a gran escala, o estos números de teléfono y otros datos simplemente podrían haber quedado expuestos en la web oscura si accedido”. En las manos equivocadas, dijo Renganathan P.
Posteriormente, la publicación se puso en contacto con Rapido, que cerró la base de datos e impidió nuevos accesos no autorizados. No sabemos si algún actor malintencionado se ha topado con esta base de datos en el pasado o si los datos se han utilizado indebidamente de forma aleatoria. Los números de teléfono y las direcciones de correo electrónico son vitales para realizar estafas de phishing y robo de identidad.
“Como procedimiento operativo estándar, buscamos comentarios valiosos de nuestra comunidad de partes interesadas sobre nuestros servicios. Si bien esto es administrado por terceros, nos hemos dado cuenta de que los enlaces de la encuesta han llegado a algunos usuarios”, dijo Aravind Sankha, director ejecutivo de Rapido, en un comunicado. declaración “Miembros de la audiencia no deseados”.
Sanka añadió que los números de teléfono y direcciones de correo electrónico recopilados eran “de naturaleza no personal”.