Bugs en app Moovit dieron viajes gratis a hackers
Hackers pudieron haber accedido a las cuentas de una reconocida aplicación de transporte, y usarlas para obtener viajes gratis, así como también tener acceso a la información personal de cada usuario, según un investigador de seguridad.
Omer Attias, un investigador de seguridad en SafeBreach, dijo haber encontrado 3 vulnerabilidades en la aplicación Moovit que le permitía recolectar la información de registro de los usuarios de todo el mundo. – Incluyendo números de celular, direcciones de correo, domicilios y los últimos 4 dígitos de las tarjetas de crédito. Lo más alarmante es que los errores podrían haberle permitido apoderarse de las cuentas de otras personas y, en consecuencia, de sus tarjetas de crédito para pagar sus propios viajes.
Esta cadena de exploits pudo haberse realizado sin que el objetivo se hubiera dado cuenta, además de ver cargos no deseados en su tarjeta de crédito. Attias lo llamó “El ataque perfecto”.
“Podemos suplantar las cuentas sin desconectarlas. Es increíble, pero tenemos la posibilidad de realizar actividades desde cuentas diferentes, incluído el pedido de boletos de tren” comentó Attias a TechCrunch en una entrevista en su conferencia de hacking en DefCon en las vegas. “Y, adicionalmente, tenemos acceso a toda su información personal”.
Para demostrar el impacto de los bugs encontrados, Attias creó una interfaz que le permitió tomar las cuentas de otras personas con un par de toques. Mientras Attias menciona que sometió a prueba sus exploits únicamente en Israel, también piensa que pudo haber funcionado en todas las ciudades donde Moovit opera.
Moovit es una startup Israelí que fue adquirida por Intel en 2020 por $900 millones. La app permite a los usuarios encontrar rutas y ver mapas de sistemas de transporte público, así como también comprar y hacer uso de boletos. La aplicación y su tecnología son usados ampliamente en todo el mundo: Moovit afirma servir a 1,700 millones de usuarios en 3,500 ciudades de 112 países.
Mientras el impacto de estas vulnerabilidades fue potencialmente masivo, Moovit comentó que no hay evidencia de que hackers hayan encontrado y explotado estos errores. Attias comentó que reportó estos bugs encontrados a la compañía en septiembre de 2022, y que subsecuentemente fueron arreglados.
“Moovit estaba al tanto y solucionó el problema cuando fue informado y tomó medidas inmediatas para terminar de corregir el problema”, mencionó a TechCrunch la portavoz de Moovit, Sharon Kaslassi. “Las vulnerabilidades se solucionaron hace mucho tiempo y no se requiere ninguna acción de los usuarios. Es importante notar que ningún actor malintencionado se aprovechó de estos problemas para tener acceso a la información de los usuarios. Adicionalmente, no se expuso información de tarjetas de crédito, ya que Moovit y Moovit-Pango no guardan la información de tarjetas en el archivo.”
Kaslassi también comentó que “el servicio de emisión de boletos mencionado en estos hallazgos está activo únicamente en Israel“.
“De acuerdo con nuestras grabaciones, ni Safebreach ni nadie más se aprovechó de la información de los clientes dentro o fuera de Israel”, agregó el representante.
En respuesta a los comentarios de Moovit, Attias mencionó que él y sus colegas “creen que podríamos haber cobrado a cualquier cliente sin limitarse únicamente a los clientes israelíes. no hemos visto ninguna diferencia entre los clientes israelíes y no israelíes en sus solicitudes API”.
Fuente:
TechCrunch is part of the Yahoo family of brands. (2023, 13 agosto). https://techcrunch.com/2023/08/13/moovit-transportation-app-moovit-hackers-free-rides/
