Los piratas informáticos podrían haber secuestrado las cuentas de usuario de una aplicación de transporte popular y usarlas para obtener viajes gratis y acceder a la información personal de las personas, según un investigador de seguridad.

Omer Attias, un investigador de seguridad de SafeBreach, dijo que encontró tres vulnerabilidades en la aplicación Moovit, lo que le permitió recopilar información de registro de nuevos usuarios de Moovit de todo el mundo, incluidos números de teléfono celular, direcciones de correo electrónico, domicilios y los últimos cuatro dígitos de tarjetas de crédito. Lo peor de todo es que los errores podrían haberle permitido apoderarse de las cuentas de otras personas y, en consecuencia, de sus tarjetas de crédito, para pagar sus propios viajes.

Toda esta cadena de exploits podría haberse realizado sin que el objetivo se enterara, además de ver cargos no deseados en su tarjeta de crédito. Attias lo llamó “el ataque perfecto”.

“Podemos suplantar completamente las cuentas, sin desconectarlas. Es una locura, en realidad tenemos la capacidad de realizar todas las operaciones en nombre de diferentes cuentas, incluido el pedido de boletos de tren”, dijo Attias a TechCrunch en una entrevista antes de su charla en la conferencia de hacking Def Con en Las Vegas. “Y además, podemos acceder a toda su información personal”.

Para demostrar el impacto de los errores que encontró, Attias creó una interfaz personalizada que le permitió controlar las cuentas de otras personas con un par de toques. Y aunque Attias dijo que probó sus hazañas solo en Israel, dijo que cree que podría haber funcionado en otras ciudades dado que Moovit opera en todo el mundo.

Moovit es una startup israelí que fue adquirida por Intel en 2020 por 900 millones de dólares. La aplicación permite a los usuarios encontrar rutas y ver mapas de sistemas de transporte público, así como comprar y usar boletos. La aplicación y su tecnología subyacente se utilizan ampliamente en todo el mundo: Moovit afirma servir a 1.700 millones de pasajeros en 3.500 ciudades en 112 países.

Si bien el impacto de estas vulnerabilidades fue potencialmente masivo, Moovit dijo que no hay evidencia de que los piratas informáticos malintencionados hayan encontrado y explotado estos errores. Attias dijo que informó todos los errores que encontró a la empresa en septiembre de 2022 y, posteriormente, la empresa los solucionó.

“Moovit estaba al tanto y solucionó el problema cuando se informó, y tomó medidas inmediatas para terminar de corregir el problema”, dijo a TechCrunch la portavoz de Moovit, Sharon Kaslassi. “Las vulnerabilidades se solucionaron hace mucho tiempo y no se requiere ninguna acción del cliente. Es importante tener en cuenta que ningún malhechor se aprovechó de estos problemas para acceder a los datos de los clientes. Además, no se expuso la información de la tarjeta de crédito, ya que Moovit y Moovit-Pango no guardan la información de la tarjeta de crédito en el archivo”.

Kaslassi también dijo que “el servicio de emisión de boletos relevante para estos hallazgos está activo solo en Israel”.

“Según nuestros registros, ni Safebreach ni nadie más se aprovechó de los datos de los clientes dentro o fuera de Israel”, agregó el portavoz.

En respuesta a los comentarios de Moovit, Attias dijo que él y sus colegas “creen que podríamos haber cobrado a cualquier cliente, sin limitarse a los clientes israelíes. No hemos visto ningún diferenciador entre los clientes israelíes y no israelíes en sus solicitudes de API”.

Lea más de Black Hat:

Las aplicaciones también deben informar a los usuarios sobre cualquier restricción de tráfico, como las Zonas de Bajas Emisiones (ZFE), que se espera que se multipliquen en los próximos años. Hasta el 1 de diciembre de 2023 como máximo, las solicitudes deberán incluir en sus propuestas «todos los datos sobre servicios de vehículos compartidos, bicicletas, ciclomotores ligeros, dispositivos de movilidad personal o desplazamientos a pie».

Los sitios y aplicaciones de orientación deberán informar mejor a los usuarios sobre el impacto negativo de sus viajes en el medio ambiente y su salud, ofrecer viajes menos contaminantes y alternativas al automóvil, anunció el gobierno el lunes. Tan pronto como un usuario intente planificar un viaje, el resultado debería mostrar una estimación de la contaminacion causados, con las cantidades de gases de efecto invernadero y contaminantes del aire (óxidos de nitrógeno, partículas PM10) emitidos por los diferentes modos de transporte sugeridos.

Alternativas para ofrecer a los usuarios

Las aplicaciones y sitios de transporte multimodal, como Google Maps, Moovit, Mappy o Bonjour RATP, tendrán que «destacar» las «propuestas de ruta con el menor impacto en términos de emisiones de gases de efecto invernadero». Si el trayecto incluye un paso en coche por un tramo en el que la velocidad máxima autorizada sea superior o igual a 110 km/h, estas aplicaciones deberán ofrecer alternativas que permitan una reducción de velocidad de 20 km/h, y por tanto menos emisiones.

Si bien en ocasiones derivan a los automovilistas a vías secundarias, para disgusto de los vecinos, estas aplicaciones deberán ahora «esforzarse en ofrecer» rutas de alivio «evitando el uso masivo de vías secundarias no previstas para un tráfico intensivo». Salvo que estos desvíos ahorren más del 10% del tiempo restante del viaje, o haya obra o accidente en la vía principal. Estas disposiciones, votadas en agosto de 2021 en el artículo 122 de la Ley del Clima, fueron publicadas en un decreto en el Diario Oficial el 3 de agosto, y aclaradas por una orden del Ministro Delegado de Transportes.

Informar sobre cualquier restricción de tráfico, tipo ZFE

Además, a partir de diciembre de 2022, todos los sitios y aplicaciones deberán transmitir periódicamente mensajes de alerta cuando un usuario esté planeando un viaje en automóvil. Estos mensajes del tipo «Para trayectos cortos, privilegia caminar o ir en bicicleta» o «Pasar de 130 a 110 km/h en autopista reduce un 20% tu consumo» irán acompañados de una firma «#SeDéplacerLesPolluer», ya obligatoria en automóvil anuncios

Las aplicaciones también deben notificar a los usuarios sobre cualquier restricción de tráfico, como Zonas de Bajas Emisiones (ZFE), que debería multiplicarse en los próximos años. Las solicitudes multimodales también deberán mostrar a finales de 2022 los «datos relativos a la red de bicicletas, áreas de uso compartido de vehículos y estacionamiento» recopilados en la base de datos del sitio transports.gouv.fr, y a finales de 2023 todas las ofertas de público transporte y vehículos compartidos (bicicletas, scooters).