Lỗ hổng bảo mật của Rapido đe dọa thông tin hàng triệu người dùng

Nền tảng gọi xe phổ biến Rapido tại Ấn Độ đã khắc phục một lỗ hổng bảo mật khiến thông tin cá nhân của người dùng và tài xế bị lộ.

Lỗ hổng này, được phát hiện bởi nhà nghiên cứu bảo mật Renganathan P, liên quan đến một biểu mẫu trên trang web được thiết kế để thu thập phản hồi từ người dùng và tài xế xe lam của Rapido. Biểu mẫu này đã vô tình để lộ họ tên đầy đủ, địa chỉ email và số điện thoại của người dùng.

Theo nhà nghiên cứu, dữ liệu bị lộ liên quan đến một API của Rapido, được sử dụng để thu thập và chia sẻ thông tin từ biểu mẫu phản hồi với dịch vụ bên thứ ba mà Rapido sử dụng.

Lỗ hổng này bằng cách gửi một tin nhắn chung chung thông qua biểu mẫu phản hồi và quan sát thấy tin nhắn này xuất hiện ngay sau đó dưới dạng bản ghi trong cổng thông tin bị lộ.

Tính đến thứ Năm, cổng thông tin này đã chứa hơn 1.800 phản hồi, bao gồm một lượng lớn số điện thoại của tài xế và một số lượng nhỏ hơn địa chỉ email.

Nhà nghiên cứu cảnh báo rằng lỗ hổng này có thể dẫn đến các cuộc tấn công lừa đảo quy mô lớn, trong đó kẻ xấu có thể gọi điện cho tài xế và thực hiện các kỹ thuật social engineering (thao túng tâm lý) hoặc bán dữ liệu trên dark web.

Trong một tuyên bố công ty đang trong quá trình thu thập phản hồi từ cộng đồng về dịch vụ của mình thông qua các bên thứ ba. Ông cũng cho rằng các số điện thoại và địa chỉ email được thu thập “không mang tính chất cá nhân”.

Tuy nhiên, việc lộ thông tin cá nhân, dù ở mức độ nào, cũng là một vấn đề nghiêm trọng và cần được xử lý kịp thời để bảo vệ người dùng.