संबंधित विकासामध्ये, राइड-हेलिंग युनिकॉर्न रॅपिडोने फीडबॅक फॉर्मसह सुरक्षा समस्येमुळे त्याच्या वापरकर्त्यांचा आणि ड्रायव्हर्सचा वैयक्तिक डेटा उघड केला आहे. सुरक्षा संशोधक आणि नैतिक हॅकर रेंगानाथन पी यांनी शोधून काढलेल्या, या असुरक्षिततेमुळे संपूर्ण नावे, फोन नंबर, ईमेल पत्ते आणि अभिप्राय संदेश यासारख्या संवेदनशील तपशीलांमध्ये सार्वजनिक प्रवेशास अनुमती मिळाली. भारताच्या झपाट्याने विस्तारणाऱ्या स्टार्टअप इकोसिस्टममध्ये सायबर सुरक्षेच्या वाढत्या आव्हानाला हा भंग हायलाइट करतो.
क्रेडिट्स: टाइम्स ऑफ इंडिया
रॅपिडोच्या प्राथमिक वेबसाइटपासून वेगळ्या डोमेनवर होस्ट केलेल्या फीडबॅक फॉर्ममधून ही समस्या उद्भवली आहे. ग्राहक आणि रिक्षा चालकांकडून मौल्यवान अंतर्दृष्टी गोळा करण्यासाठी डिझाइन केलेले असताना, फॉर्मच्या योग्य सुरक्षा नियंत्रणांच्या अभावामुळे ते सार्वजनिक प्रवेशासाठी असुरक्षित राहिले.
19 डिसेंबर 2024 पर्यंत 1,800 पेक्षा जास्त अभिप्राय नोंदींचा समावेश असलेला हा उल्लंघन लक्षणीय होता. बहुतांश डेटा रिक्षा चालकांशी संबंधित होता, जरी काही ग्राहकांची माहिती, ईमेल पत्त्यांसह, देखील उघड झाली. Rapido ने फीडबॅक प्रक्रिया व्यवस्थापित करण्यासाठी तृतीय-पक्ष सेवेचा वापर केला, मुख्य ऑपरेशनल घटकांच्या आउटसोर्सिंगशी संबंधित जोखीम अधोरेखित केली.
रेंगानाथन यांच्या मते, बाह्य एजन्सींचा समावेश करताना स्टार्टअप्सना विशेषतः सतर्क राहण्याची गरज आहे. “सुरक्षित कोडिंग आणि अतिरिक्त प्रवेश नियंत्रण सुरक्षिततेला प्राधान्य दिले पाहिजे. सुरक्षा मूल्यांकन किंवा बग बाउंटी प्रोग्राम होस्ट करणे अशा समस्या टाळण्यास मदत करू शकतात,” त्यांनी सल्ला दिला.
असुरक्षिततेबद्दल सावध झाल्यानंतर, रॅपिडोने पोर्टलची सेटिंग्ज खाजगीमध्ये बदलून त्वरित कारवाई केली. TechCrunch ला दिलेल्या निवेदनात, Rapido चे सह-संस्थापक आणि CEO यांनी कबूल केले की सर्वेक्षण लिंक्स अनवधानाने अनपेक्षित वापरकर्त्यांपर्यंत पोहोचल्या होत्या. भविष्यात अशा घटना टाळण्यासाठी पावले उचलली जात असल्याची ग्वाही कंपनीने दिली.
तात्काळ प्रतिसाद प्रशंसनीय असला तरी, या घटनेने डेटा संरक्षणासाठी स्टार्टअपच्या दृष्टिकोनावर आणि त्याच्या वापरकर्त्यांच्या विश्वासाचे रक्षण करण्याच्या क्षमतेबद्दल प्रश्न उपस्थित केले आहेत.
रॅपिडोचे उल्लंघन ही एक वेगळी घटना नाही. भारतीय स्टार्टअप इकोसिस्टममध्ये अलीकडेच अनेक सायबर सुरक्षा त्रुटी दिसून आल्या आहेत:
चिन्हांकित: नोव्हेंबरच्या अखेरीस, फिनटेक सास स्टार्टअपला सायबर हल्ल्याचा फटका बसला.
स्टार हेल्थ: डेटाच्या उल्लंघनामुळे 30 दशलक्ष ग्राहकांची वैयक्तिक माहिती टेलिग्रामवर विक्रीसाठी ठेवण्यात आली आहे. हॅकरने $68,000 ची खंडणी मागितली.
DotPe: सप्टेंबरमध्ये, मानवी चुकांमुळे त्याच्या पेमेंट प्लॅटफॉर्मवर ग्राहकांचा डेटा लीक झाला.
या घटना स्टार्टअप्सना डेटा सुरक्षेला प्राधान्य देण्यासाठी तातडीच्या गरजेवर भर देतात, विशेषत: जेव्हा ते वाढतात आणि संवेदनशील ग्राहक माहितीच्या वाढत्या प्रमाणात हाताळतात.
रॅपिडोचा अनुभव सर्व उद्योगांमधील स्टार्टअपसाठी महत्त्वपूर्ण धडे देतो:
सुरक्षित तृतीय-पक्ष एकत्रीकरण: फीडबॅक संकलनासारख्या ऑपरेशनल घटकांच्या आउटसोर्सिंगसाठी कठोर निरीक्षण आवश्यक आहे. सुरक्षा प्रोटोकॉल सर्व भागीदारांना विस्तारित करणे आवश्यक आहे.
नियमित सुरक्षा मूल्यांकन: स्टार्टअप्सने संकट येण्यापूर्वी असुरक्षा ओळखण्यासाठी आणि त्यांचे निराकरण करण्यासाठी नियतकालिक सुरक्षा ऑडिट केले पाहिजेत.
एथिकल हॅकर्सला गुंतवा: बग बाउंटी प्रोग्राम अशा त्रुटी उघड करण्यात मदत करू शकतात ज्या अन्यथा लक्ष न दिल्यास जाऊ शकतात.
पारदर्शकता आणि जबाबदारी: कंपन्यांनी वापरकर्त्यांशी उल्लंघनांबद्दल उघडपणे संवाद साधला पाहिजे आणि त्यांना संबोधित करण्यासाठी चरणांची रूपरेषा सांगितली पाहिजे.
रेंगानाथन यांनी नमूद केल्याप्रमाणे, “भारतात भरपूर सुरक्षा व्यावसायिक आहेत. मी स्टार्टअप्सना विनंती करतो की त्यांनी अशा सायबर तज्ञांचा वापर करावा.”
हा धक्का असूनही, रॅपिडोने आर्थिक कामगिरीमध्ये लवचिकता दाखवली आहे. कंपनीने आर्थिक वर्ष 24 मध्ये 45% ने आपला तोटा कमी केला, ज्यामुळे ते FY23 मधील ₹675 कोटींवरून ₹370 कोटींवर आले. दरम्यान, त्याची कमाई 1.5x ने वाढून ₹648.1 कोटीवर पोहोचली. हे आकडे रॅपिडोची मजबूत बाजारपेठेची स्थिती आणि पुनर्प्राप्तीची संभाव्यता दर्शवतात.
ऋषिकेश एसआर, पवन गुंटुपल्ली आणि अरविंद सांका यांनी 2015 मध्ये स्थापन केलेल्या, रॅपिडोने ऑटो आणि कॅब विभाग समाविष्ट करण्यासाठी बाइक टॅक्सी सेवेतून विकसित केले आहे. हे वैविध्य भारताच्या राइड-हेलिंग मार्केटमध्ये वर्चस्व गाजवण्याची तिची महत्त्वाकांक्षा दर्शवते.
क्रेडिट्स: टेक क्रंच
संपूर्ण स्टार्टअप इकोसिस्टमने Rapido डेटा उल्लंघनाची नोंद घेतली पाहिजे. नावीन्य आणि जलद विस्तार हे यशासाठी आवश्यक आहेत, परंतु ते मजबूत सायबर सुरक्षा द्वारे संतुलित केले पाहिजेत. कोणताही सेवा-आधारित व्यवसाय विश्वासावर आधारित असतो आणि तो विश्वास जतन करणे डेटा गोपनीयतेचे संरक्षण करण्यावर गंभीरपणे अवलंबून असते.
स्टार्टअप्सनी पर्यायी गुंतवणुकीऐवजी सायबरसुरक्षा हा त्यांच्या विकास योजनेचा एक आवश्यक घटक म्हणून पाहणे आवश्यक आहे. ही घटना प्रभावीपणे आणि उघडपणे हाताळल्याने रॅपिडोला वापरकर्त्याच्या सुरक्षितता आणि विश्वासाप्रती असलेल्या समर्पणाची पुष्टी करण्याची संधी मिळू शकते, जी उद्योगावर वर्चस्व मिळवण्याच्या त्याच्या सुरू असलेल्या शोधातील एक आवश्यक पहिली पायरी आहे.
