Σφάλματα στην εφαρμογή μεταφοράς Το Moovit έδωσε στους χάκερ δωρεάν βόλτες

By

Marizas Dimitris

On

Αυγ 13, 2023

Οι χάκερ θα μπορούσαν να έχουν παραβιάσει τους λογαριασμούς χρηστών μιας δημοφιλούς

εφαρμογή

ς μεταφορών και να τους χρησιμοποιήσουν για να κάνουν δωρεάν βόλτες και να έχουν πρόσβαση σε προσωπικές πληροφορίες ανθρώπων, σύμφωνα με έναν ερευνητή ασφαλείας.

Ομέρ Αττίας

, ένας ερευνητής ασφαλείας στο SafeBreach, είπε ότι βρήκε τρία τρωτά σημεία στην εφαρμογή Moovit, τα οποία του επέτρεψαν να συλλέξει πληροφορίες εγγραφής νέων χρηστών Moovit από όλο τον κόσμο — συμπεριλαμβανομένων αριθμών κινητών τηλεφώνων, διευθύνσεων email, διευθύνσεων σπιτιού και των τελευταίων τεσσάρων ψηφίων πιστωτικές κάρτες. Το χειρότερο από όλα, τα

σφάλμα

τα θα μπορούσαν να του επιτρέψουν να αναλάβει τους λογαριασμούς άλλων ανθρώπων, και κατά συνέπεια τις πιστωτικές τους κάρτες, για να πληρώσει τις δικές του βόλτες.

Όλη αυτή η αλυσίδα εκμεταλλεύσεων θα μπορούσε να είχε πραγματοποιηθεί χωρίς να το μάθει ποτέ ο στόχος, εκτός από το να δει ανεπιθύμητες χρεώσεις στην πιστωτική του κάρτα. Ο Attias την αποκάλεσε «η τέλεια επίθεση».

«Μπορούμε να πλαστοπροσωπήσουμε πλήρως τους λογαριασμούς, χωρίς να τους αποσυνδέσουμε. Είναι τρελό, έχουμε πραγματικά τη δυνατότητα να εκτελούμε όλες τις λειτουργίες για λογαριασμό διαφορετικών λογαριασμών, συμπεριλαμβανομένης της παραγγελίας εισιτηρίων τρένου», είπε ο Attias στο TechCrunch σε συνέντευξή του πριν από την ομιλία του στο συνέδριο χάκερ Def Con στο Λας Βέγκας. “Και επιπλέον, μπορούμε να έχουμε πρόσβαση σε όλες τις προσωπικές τους πληροφορίες.”

Για να αποδείξει τον αντίκτυπο των σφαλμάτων που βρήκε, ο Attias δημιούργησε μια προσαρμοσμένη διεπαφή που του επέτρεπε να αναλάβει τους λογαριασμούς άλλων ανθρώπων με μερικά πατήματα. Και ενώ ο Attias είπε ότι δοκίμασε τα κατορθώματά του μόνο στο Ισραήλ, είπε ότι πιστεύει ότι θα μπορούσε να λειτουργήσει σε άλλες πόλεις δεδομένου ότι το Moovit λειτουργεί σε όλο τον κόσμο.

Το Moovit είναι μια ισραηλινή startup που εξαγοράστηκε από την Intel το 2020 για 900 εκατομμύρια δολάρια. Η εφαρμογή επιτρέπει στους χρήστες να βρίσκουν διαδρομές και να βλέπουν τους χάρτες των συστημάτων δημόσιων μεταφορών, καθώς και να αγοράζουν και να χρησιμοποιούν εισιτήρια. Η εφαρμογή και η υποκείμενη τεχνολογία της χρησιμοποιούνται ευρέως παγκοσμίως: Το Moovit ισχυρίζεται ότι εξυπηρετεί 1,7 δισεκατομμύρια αναβάτες σε 3.500 πόλεις σε 112 χώρες.

Ενώ ο αντίκτυπος αυτών των τρωτών σημείων ήταν δυνητικά τεράστιος, το Moovit είπε ότι δεν υπάρχουν στοιχεία ότι κακόβουλοι χάκερ βρήκαν και εκμεταλλεύτηκαν αυτά τα σφάλματα. Ο Attias είπε ότι ανέφερε όλα τα σφάλματα που βρήκε στην εταιρεία τον Σεπτέμβριο του

2022

και η εταιρεία στη συνέχεια τα διόρθωσε.

«Η Moovit γνώριζε και διόρθωνε το πρόβλημα όταν αναφέρθηκε και έλαβε άμεσα μέτρα για να ολοκληρώσει τη διόρθωση του προβλήματος», δήλωσε στο TechCrunch η εκπρόσωπος του Moovit Σαρόν Κασλάσι. «Τα τρωτά σημεία έχουν επιδιορθωθεί εδώ και πολύ καιρό και δεν απαιτείται καμία

ενέργεια

από τον πελάτη. Είναι σημαντικό να σημειωθεί ότι κανένας κακός παράγοντας δεν εκμεταλλεύτηκε αυτά τα ζητήματα για να αποκτήσει πρόσβαση στα δεδομένα πελατών.

Επιπλέον

, δεν αποκαλύφθηκαν στοιχεία πιστωτικής κάρτας, καθώς το Moovit και το Moovit-Pango δεν διατηρούν στο αρχείο τα στοιχεία της πιστωτικής κάρτας.”

Ο Kaslassi είπε επίσης ότι «η υπηρεσία έκδοσης εισιτηρίων που σχετίζεται με αυτά τα ευρήματα είναι ενεργή μόνο στο Ισραήλ».

«Σύμφωνα με τα αρχεία μας, ούτε η Safebreach ούτε κάποιος άλλος εκμεταλλεύτηκε δεδομένα πελατών εντός ή εκτός του Ισραήλ», πρόσθεσε ο εκπρόσωπος.

Απαντώντας στα σχόλια του Moovit, ο Attias είπε ότι ο ίδιος και οι συνάδελφοί του «πιστεύουν ότι θα μπορούσαμε να χρεώσουμε οποιονδήποτε πελάτη χωρίς να περιορίζεται στους Ισραηλινούς πελάτες. Δεν έχουμε δει διαφοροποιήσεις μεταξύ Ισραηλινών και μη Ισραηλινών πελατών στα αιτήματά τους API.”

Διαβάστε περισσότερα από το Black Hat:

techcrunch.com