Омер Аттиас, специалист по безопасности из компании SafeBreach, выявилтри уязвимости в приложении для транспортных услуг Moovit. Найденные ошибки позволили ему получить данные регистрации новых пользователей со всего мира, включая номера мобильных телефонов, адреса электронной почты, домашние адреса и последние четыре цифры кредитных карт. Более того, он сумел завладеть учётными записями других людей и использовать их для оплаты своих поездок.
Аттиас называет этот вид атаки “идеальной”, так как жертва даже не подозревает о ней.
Чтобы продемонстрировать уязвимости, исследователь создал свой собственный интерфейс, который позволял легко управлять учетными записями других людей всего несколькими кликами. Хотя эксперименты проводились в Израиле, Аттиас считает, что подобные атаки могли бы сработать и в других странах.
Moovit – израильская стартап-компания, приобретенная Intel в 2020 году за $900 миллионов. Приложение позволяет пользователям находить маршруты и просматривать карты общественного транспорта, а также покупать и использовать билеты. По данным Moovit, оно обслуживает 1,7 миллиарда пассажиров в 3500 городах в 112 странах.
Хотя воздействие найденных уязвимостей было потенциально огромным, в Moovit заявили, что нет доказательств того, что злоумышленники нашли и эксплуатировали эти ошибки.
Аттиас утверждает, что он сообщил о всех найденных им уязвимостях компании в сентябре 2022 года, и Moovit впоследствии исправила их.
Представитель Moovit, Шарон Касласси, подчеркивает, что баги не раскрывали информацию о кредитных картах, так как компания не хранит такие данные.