Nous Contacter

Rapido : Fuite De Données Utilisateurs Via Un Formulaire De Feedback

Imaginez si vos informations personnelles – nom, email, numéro de téléphone – se retrouvaient exposées sur le web à votre insu. C’est malheureusement ce qui est arrivé aux utilisateurs et chauffeurs de Rapido, une application VTC populaire en Inde, suite à une faille de sécurité détectée dans un formulaire de feedback sur leur site web.

Une API mal sécurisée à l’origine de la fuite

Selon la découverte du chercheur en sécurité Renganathan P, le formulaire destiné à collecter les avis des utilisateurs et chauffeurs Rapido exposait en réalité leurs données personnelles en clair, dont :

  • Noms et prénoms
  • Adresses email
  • Numéros de téléphone

En cause : l’API de Rapido qui récupérait et transférait ces informations vers un service tiers sans les protéger. Au total, plus de 1800 réponses contenant majoritairement des numéros de téléphone de chauffeurs et quelques adresses email étaient accessibles publiquement.

Des risques d’attaques à grande échelle

Au-delà de l’aspect intrusif, cette fuite de données aurait pu avoir de lourdes conséquences si elle était tombée entre de mauvaises mains. Le chercheur en sécurité avance deux scénarios inquiétants :

  • Des escrocs auraient pu lancer une vaste campagne d’ingénierie sociale en appelant les chauffeurs
  • Les données auraient pu se retrouver en vente sur le dark web

Une faille rapidement corrigée

Contacté par TechCrunch qui a révélé l’affaire, Rapido a rapidement réagi en rendant privé le portail exposé. Son PDG Aravind Sanka a expliqué dans un communiqué qu’il s’agissait d’un sondage géré par des prestataires et que les liens avaient atteint par erreur des utilisateurs non prévus. Il a tenu à préciser que les numéros de téléphone et emails collectés étaient « non personnels ».

Les entreprises ont la responsabilité de renforcer en permanence leur sécurité des données, en auditant régulièrement leurs systèmes et ceux de leurs partenaires.

Si la réaction de Rapido a été à la hauteur en colmatant rapidement la brèche, cet incident rappelle une nouvelle fois l’importance cruciale de la protection des données personnelles. Dans un monde de plus en plus connecté, la sécurité de l’information doit être une priorité absolue pour les entreprises.

Renforcer la sécurité à tous les niveaux

Pour éviter ce genre de mésaventure, plusieurs bonnes pratiques sont à mettre en place :

  • Auditer et tester régulièrement la sécurité de ses systèmes et de ceux des partenaires
  • Appliquer le principe du moindre privilège pour l’accès aux données
  • Chiffrer systématiquement les données sensibles, en transit comme au repos
  • Former et sensibiliser les équipes aux bonnes pratiques de sécurité

La sécurité des données doit s’inscrire dans une démarche proactive et continue. C’est à ce prix que la confiance dans le numérique pourra être préservée. Une leçon que Rapido, comme beaucoup d’autres, a appris à ses dépens.

Précédent

Perplexity Lève 500 Millions De Dollars Et Révolutionne La Recherche IA

Suivant

Le Départ de Matt Miller, Partenaire chez Sequoia Capital

À lire également