Moovit: одно приложение, миллиарды пассажиров и куча данных для хакера

Омер Аттиас, специалист по безопасности из компании SafeBreach, выявил три уязвимости в приложении для транспортных услуг Moovit. Найденные ошибки позволили ему получить данные регистрации новых пользователей со всего мира, включая номера мобильных телефонов, адреса электронной почты, домашние адреса и последние четыре цифры кредитных карт. Более того, он сумел завладеть учётными записями других людей и использовать их для оплаты своих поездок.

Аттиас называет этот вид атаки "идеальной", так как жертва даже не подозревает о ней.

Чтобы продемонстрировать уязвимости, исследователь создал свой собственный интерфейс, который позволял легко управлять учетными записями других людей всего несколькими кликами. Хотя эксперименты проводились в Израиле, Аттиас считает, что подобные атаки могли бы сработать и в других странах.

Moovit - израильская стартап-компания, приобретенная Intel в 2020 году за $900 миллионов. Приложение позволяет пользователям находить маршруты и просматривать карты общественного транспорта, а также покупать и использовать билеты. По данным Moovit, оно обслуживает 1,7 миллиарда пассажиров в 3500 городах в 112 странах.

Хотя воздействие найденных уязвимостей было потенциально огромным, в Moovit заявили, что нет доказательств того, что злоумышленники нашли и эксплуатировали эти ошибки.

Аттиас утверждает, что он сообщил о всех найденных им уязвимостях компании в сентябре 2022 года, и Moovit впоследствии исправила их.

Представитель Moovit, Шарон Касласси, подчеркивает, что баги не раскрывали информацию о кредитных картах, так как компания не хранит такие данные.