Bir güvenlik araştırmacısına göre, bilgisayar korsanları popüler bir ulaşım uygulaması olan Moovit kullanıcı hesaplarını ele geçirmiş ve bunları ücretsiz yolculuklar elde etmek ve insanların kişisel bilgilerine erişmek için kullanmış olabilir.
SafeBreach güvenlik araştırmacısı Omer Attias, Moovit uygulamasında cep telefonu numaraları, e-posta adresleri, ev adresleri ve son dördü dahil olmak üzere dünyanın her yerinden yeni Moovit kullanıcılarının kayıt bilgilerini toplamasına olanak tanıyan üç güvenlik açığı bulduğunu söyledi. Hepsinden kötüsü, böcekler; kendi yolculuklarını ödeyebilmeleri için diğer insanların hesaplarının ve dolayısıyla kredi kartlarının ele geçirilmesine izin verebilirdi.
Tüm bu açıklardan yararlanma zincirinde, kredi kartında istenmeyen masraflar görülmesi dışında, hedef fark edilmeden gerçekleştirilebilirdi. Attias buna “mükemmel saldırı” dedi.
Attias verdiği demeçte “Hesapları bağlantılarını kesmeden tamamen taklit edebiliyoruz. Bu çılgınca, aslında tren bileti siparişi vermek de dahil olmak üzere tüm işlemleri farklı hesaplar adına gerçekleştirme yeteneğine sahibiz.” dedi. “Ayrıca, tüm kişisel bilgilerine erişebiliriz.”
Attias, bulduğu hataların etkisini göstermek için, birkaç dokunuşla diğer kişilerin hesaplarını ele geçirmesine izin veren özel bir arayüz oluşturdu. İstismarlarını yalnızca İsrail’de test ettiğini söylerken, Moovit’in tüm dünyada faaliyet gösterdiği göz önüne alındığında, diğer şehirlerde de işe yarayabileceğini düşündüğünü söyledi.
Moovit, Intel tarafından 2020 yılında 900 milyon dolara satın alınan İsrailli bir girişim. Uygulama, kullanıcıların rotaları bulmasına ve toplu taşıma sistemlerinin haritalarını görüntülemesine, ayrıca bilet satın almasına ve kullanmasına olanak tanıyor. Uygulama ve altında yatan teknoloji, dünya çapında yaygın olarak kullanılıyor: Moovit, 112 ülkedeki 3.500 şehirde 1,7 milyar yolcuya hizmet verdiğini iddia ediyor.
Bu güvenlik açıklarının etkisi potansiyel olarak çok büyük olsa da Moovit, kötü niyetli bilgisayar korsanlarının bu açıkları bulup istismar ettiğine dair hiçbir kanıt olmadığını söyledi. Attias, Eylül 2022’de bulduğu tüm hataları şirkete bildirdiğini ve ardından şirketin bunları düzelttiğini söyledi.
Moovit sözcüsü Sharon Kaslassi, “Moovit, bildirildiğinde sorunun farkındaydı ve sorunu düzeltiyordu ve sorunu düzeltmeyi tamamlamak için acil adımlar attı.” “Güvenlik açıkları çoktan giderildi ve müşterinin herhangi bir işlem yapması gerekmiyor. Hiçbir kötü niyetli kişinin müşteri verilerine erişmek için bu sorunlardan yararlanmadığına dikkat etmek önemlidir. Ek olarak, Moovit ve Moovit-Pango kredi kartı bilgilerini dosyalarda tutmadığından hiçbir kredi kartı bilgisi açığa çıkmadı.”
Kaslassi ayrıca “bu bulgularla ilgili bilet servisinin yalnızca İsrail’de aktif olduğunu” söyledi.
Sözcü, “Kayıtlarımıza göre, ne Safebreach ne de başka biri İsrail içinde veya dışında herhangi bir müşteri verisinden yararlanmadı.” diye ekledi.
Moovit’in yorumlarına yanıt olarak Attias, kendisinin ve meslektaşlarının “İsrailli müşterilerle sınırlı olmayan herhangi bir müşteriden ücret alabileceğimize inandıklarını söyledi. API taleplerinde İsrailli ve İsrailli olmayan müşteriler arasında herhangi bir fark görmedik.”