« Votre vie privée est comme un gâteau ; vous ne voulez pas que tout le monde en prenne une part sans votre permission. » C’est exactement ce qui a failli se passer avec Rapido, la fameuse plateforme indienne de commandes de courses. Une faille de sécurité a permis à des informations personnelles de ses utilisateurs et chauffeurs de se balader librement dans la nature numérique, comme l’a appris TechCrunch en exclusivité.
Tout a commencé lorsque l’intrépide chercheur en sécurité, Renganathan P, a découvert que les données personnelles – noms complets, adresses email et numéros de téléphone – étaient exposées par un formulaire du site destiné à recueillir les avis des utilisateurs de rickshaws auto Rapido. Malheureusement, ce formulaire ne semblait pas aussi sûr que pourrait l’espérer quelqu’un qui confie son numéro à un inconnu.
Cette immense fuite de données concernait une API de Rapido qui devait normalement simplement dialoguer poliment avec un service tiers. Au lieu de quoi, elle s’est mise à chanter tout fort sur le Web, telle une chanteuse lyrique sans scène : absolument pas subtile ! Dès que TechCrunch a entré un message quelconque à travers le formulaire, il apparaissait comme par magie dans le portail exposé – une performance fascinante mais à haut risque pour la vie privée.
En voyant des numéros de téléphone ainsi qu’une poignée d’adresses email voguer au gré du vent numérique, le danger potentiel était aussi effrayant qu’un film d’horreur indien en 3D.
Le portail affichait fièrement plus de 1,800 réponses de retours de coursiers, avec un bouquet de numéros de téléphone comme s’il s’agissait d’un cadeau de Noël. Imaginez un instant des escrocs ou pirates tels de vilains lutins bondissant sur ces informations, prêtes à enflammer le dark web – ce n’est pas une histoire que l’on raconte au coin du feu. Dès qu’ils ont été alertés, Rapido a rapidement confiné ce fiasco numérique à une audience privée seulement. Il était temps !
Monumental, non ? Selon le CEO de Rapido, Aravind Sanka, aucune de ces données – aussi intrigantes soient-elles – n’était vraiment personnelle. Un peu comme dire que votre selfie en pyjama n’est pas embarrassant du tout, tant qu’il est flou. Cette petite danse avec la confidentialité laisse tout de même perplexe, mais elle rappelle à tous qu’une simple évaluation peut devenir une erreur épique.
Source : Techcrunch
