Rapido, une plateforme leader de covoiturage en Inde, a résolu une importante vulnérabilité de sécurité qui exposait les informations personnelles de ses utilisateurs et conducteurs.
La vulnérabilité était liée à un formulaire de collecte de retours d’expérience sur le site web de Rapido, conçu pour que les utilisateurs et conducteurs de rickshaws partagent leurs avis. Cependant, en raison d’une faille dans l’une des API de Rapido, des données sensibles, telles que les noms complets, adresses e-mail et numéros de téléphone, ont été exposées par inadvertance.
L’API exposée, destinée à traiter les données des retours et à les transmettre à un service tiers utilisé par Rapido, a créé un portail où les enregistrements des retours étaient accessibles publiquement. Le chercheur en sécurité Renganathan P a démontré le problème en soumettant un message générique via le formulaire, qui était ensuite visible sur le portail non sécurisé.
Ampleur de l’exposition
Jeudi, le portail exposé contenait environ 1 800 réponses aux retours, comprenant un grand nombre de numéros de téléphone de conducteurs et une quantité plus limitée d’adresses e-mail. TechCrunch a vérifié la vulnérabilité et confirmé les conclusions du chercheur.
Le chercheur a souligné les risques potentiels liés à une telle exposition, avertissant que des acteurs malveillants pourraient exploiter les données divulguées pour des escroqueries ou des attaques d’ingénierie sociale ciblant les conducteurs de Rapido. Dans le pire des cas, ces données pourraient être vendues sur le dark web, entraînant des préoccupations plus larges en matière de confidentialité et de sécurité.
Réponse de Rapido
Après avoir été informé par TechCrunch de la vulnérabilité, Rapido a rapidement rendu le portail exposé privé, réduisant ainsi le risque de fuites de données supplémentaires.
Dans une déclaration par e-mail, le PDG de Rapido, Aravind Sanka, a reconnu le problème, expliquant que le sondage de feedback était géré par une entité externe et était devenu accessible à des utilisateurs non autorisés par inadvertance. Il a décrit les informations exposées, telles que les numéros de téléphone et les adresses e-mail, comme étant « de nature non personnelle ». Cependant, aucune précision supplémentaire n’a été apportée à cette caractérisation.
Leçon à tirer
Cet incident met en lumière l’importance de mesures de sécurité rigoureuses, en particulier lorsqu’il s’agit de gérer des données sensibles d’utilisateurs et de conducteurs. Bien que Rapido ait agi rapidement pour résoudre le problème, l’exposition souligne les conséquences potentielles des mauvaises configurations d’API et la nécessité d’une vigilance constante en matière de sécurité sur les plateformes manipulant des informations personnelles à grande échelle.
La réponse rapide de Rapido pour corriger cette faille a permis d’éviter une violation de données potentiellement plus importante, mais ce cas rappelle aux entreprises technologiques qu’elles doivent continuellement auditer et sécuriser leurs systèmes de gestion des données.