- 13,856
- 20
- 8 Ноя 2022
Уязвимости в популярном транспортном приложении Moovit создали угрозу для данных миллиарда пассажиров.
Омер Аттиас, специалист по безопасности из компании SafeBreach, Для просмотра ссылки Войдиили Зарегистрируйся три уязвимости в приложении для транспортных услуг Moovit. Найденные ошибки позволили ему получить данные регистрации новых пользователей со всего мира, включая номера мобильных телефонов, адреса электронной почты, домашние адреса и последние четыре цифры кредитных карт. Более того, он сумел завладеть учётными записями других людей и использовать их для оплаты своих поездок.
Аттиас называет этот вид атаки "идеальной", так как жертва даже не подозревает о ней.
Чтобы продемонстрировать уязвимости, исследователь создал свой собственный интерфейс, который позволял легко управлять учетными записями других людей всего несколькими кликами. Хотя эксперименты проводились в Израиле, Аттиас считает, что подобные атаки могли бы сработать и в других странах.
Moovit - израильская стартап-компания, приобретенная Intel в 2020 году за $900 миллионов. Приложение позволяет пользователям находить маршруты и просматривать карты общественного транспорта, а также покупать и использовать билеты. По данным Moovit, оно обслуживает 1,7 миллиарда пассажиров в 3500 городах в 112 странах.
Хотя воздействие найденных уязвимостей было потенциально огромным, в Moovit заявили, что нет доказательств того, что злоумышленники нашли и эксплуатировали эти ошибки.
Аттиас утверждает, что он сообщил о всех найденных им уязвимостях компании в сентябре 2022 года, и Moovit впоследствии исправила их.
Представитель Moovit, Шарон Касласси, подчеркивает, что баги не раскрывали информацию о кредитных картах, так как компания не хранит такие данные.
Омер Аттиас, специалист по безопасности из компании SafeBreach, Для просмотра ссылки Войди
Аттиас называет этот вид атаки "идеальной", так как жертва даже не подозревает о ней.
Чтобы продемонстрировать уязвимости, исследователь создал свой собственный интерфейс, который позволял легко управлять учетными записями других людей всего несколькими кликами. Хотя эксперименты проводились в Израиле, Аттиас считает, что подобные атаки могли бы сработать и в других странах.
Moovit - израильская стартап-компания, приобретенная Intel в 2020 году за $900 миллионов. Приложение позволяет пользователям находить маршруты и просматривать карты общественного транспорта, а также покупать и использовать билеты. По данным Moovit, оно обслуживает 1,7 миллиарда пассажиров в 3500 городах в 112 странах.
Хотя воздействие найденных уязвимостей было потенциально огромным, в Moovit заявили, что нет доказательств того, что злоумышленники нашли и эксплуатировали эти ошибки.
Аттиас утверждает, что он сообщил о всех найденных им уязвимостях компании в сентябре 2022 года, и Moovit впоследствии исправила их.
Представитель Moovit, Шарон Касласси, подчеркивает, что баги не раскрывали информацию о кредитных картах, так как компания не хранит такие данные.
- Источник новости
- www.securitylab.ru
