Los piratas informáticos podrían haber secuestrado las cuentas de usuario de una aplicación de transporte popular y usarlas para obtener viajes gratis y acceder a la información personal de las personas, según un investigador de seguridad.
Omer Attias, un investigador de seguridad de SafeBreach, dijo que encontró tres vulnerabilidades en la aplicación Moovit, lo que le permitió recopilar información de registro de nuevos usuarios de Moovit de todo el mundo, incluidos números de teléfono celular, direcciones de correo electrónico, domicilios y los últimos cuatro dígitos de tarjetas de crédito. Lo peor de todo es que los errores podrían haberle permitido apoderarse de las cuentas de otras personas y, en consecuencia, de sus tarjetas de crédito, para pagar sus propios viajes.
Toda esta cadena de exploits podría haberse realizado sin que el objetivo se enterara, además de ver cargos no deseados en su tarjeta de crédito. Attias lo llamó “el ataque perfecto”.
“Podemos suplantar completamente las cuentas, sin desconectarlas. Es una locura, en realidad tenemos la capacidad de realizar todas las operaciones en nombre de diferentes cuentas, incluido el pedido de boletos de tren”, dijo Attias a TechCrunch en una entrevista antes de su charla en la conferencia de hacking Def Con en Las Vegas. “Y además, podemos acceder a toda su información personal”.
Para demostrar el impacto de los errores que encontró, Attias creó una interfaz personalizada que le permitió controlar las cuentas de otras personas con un par de toques. Y aunque Attias dijo que probó sus hazañas solo en Israel, dijo que cree que podría haber funcionado en otras ciudades dado que Moovit opera en todo el mundo.
Moovit es una startup israelí que fue adquirida por Intel en 2020 por 900 millones de dólares. La aplicación permite a los usuarios encontrar rutas y ver mapas de sistemas de transporte público, así como comprar y usar boletos. La aplicación y su tecnología subyacente se utilizan ampliamente en todo el mundo: Moovit afirma servir a 1.700 millones de pasajeros en 3.500 ciudades en 112 países.
Si bien el impacto de estas vulnerabilidades fue potencialmente masivo, Moovit dijo que no hay evidencia de que los piratas informáticos malintencionados hayan encontrado y explotado estos errores. Attias dijo que informó todos los errores que encontró a la empresa en septiembre de 2022 y, posteriormente, la empresa los solucionó.
“Moovit estaba al tanto y solucionó el problema cuando se informó, y tomó medidas inmediatas para terminar de corregir el problema”, dijo a TechCrunch la portavoz de Moovit, Sharon Kaslassi. “Las vulnerabilidades se solucionaron hace mucho tiempo y no se requiere ninguna acción del cliente. Es importante tener en cuenta que ningún malhechor se aprovechó de estos problemas para acceder a los datos de los clientes. Además, no se expuso la información de la tarjeta de crédito, ya que Moovit y Moovit-Pango no guardan la información de la tarjeta de crédito en el archivo”.
Kaslassi también dijo que “el servicio de emisión de boletos relevante para estos hallazgos está activo solo en Israel”.
“Según nuestros registros, ni Safebreach ni nadie más se aprovechó de los datos de los clientes dentro o fuera de Israel”, agregó el portavoz.
En respuesta a los comentarios de Moovit, Attias dijo que él y sus colegas “creen que podríamos haber cobrado a cualquier cliente, sin limitarse a los clientes israelíes. No hemos visto ningún diferenciador entre los clientes israelíes y no israelíes en sus solicitudes de API”.
Lea más de Black Hat: