Laut einem Sicherheitsforscher könnten Hacker die Benutzerkonten einer beliebten Transport-App gekapert und damit Freifahrten und Zugriff auf die persönlichen Daten von Personen genutzt haben.
Omer Attias, ein Sicherheitsforscher bei SafeBreach, sagte, er habe drei Schwachstellen in der Moovit-App gefunden, die es ihm ermöglichten, Registrierungsinformationen neuer Moovit-Benutzer aus der ganzen Welt zu sammeln – darunter Mobiltelefonnummern, E-Mail-Adressen, Privatadressen und die letzten vier Ziffern von Kreditkarten. Am schlimmsten war, dass die Viren es ihm ermöglicht haben könnten, die Konten und damit auch die Kreditkarten anderer Leute zu übernehmen, um seine eigenen Fahrten zu bezahlen.
Diese ganze Kette von Exploits hätte durchgeführt werden können, ohne dass die Zielperson es jemals merkte, abgesehen davon, dass sie unerwünschte Belastungen auf ihrer Kreditkarte sah. Attias nannte es „den perfekten Angriff“.
„Wir können Konten vollständig imitieren, ohne sie zu trennen. Es ist verrückt, wir haben tatsächlich die Möglichkeit, alle Vorgänge im Namen verschiedener Konten durchzuführen, einschließlich der Bestellung von Bahntickets“, sagte Attias gegenüber Tech in einem Interview vor seinem Vortrag auf der Hacking-Konferenz Def Con in Las Vegas. „Und außerdem können wir auf alle ihre persönlichen Daten zugreifen.“
Um die Auswirkungen der von ihm gefundenen Fehler zu demonstrieren, erstellte Attias eine benutzerdefinierte Schnittstelle, die es ihm ermöglichte, mit ein paar Fingertipps die Konten anderer Leute zu übernehmen. Und während Attias sagte, er habe seine Heldentaten nur in Israel getestet, glaubt er, dass es auch in anderen Städten hätte funktionieren können, da Moovit auf der ganzen Welt tätig ist.
Moovit ist ein israelisches Startup, das 2020 für 900 Millionen US-Dollar von Intel übernommen wurde. Mit der App können Nutzer Routen finden, Karten öffentlicher Verkehrsmittel einsehen sowie Fahrkarten kaufen und nutzen. Die App und die zugrunde liegende Technologie sind weltweit weit verbreitet: Moovit bedient nach eigenen Angaben 1,7 Milliarden Fahrgäste in 3.500 Städten in 112 Ländern.
Obwohl die Auswirkungen dieser Sicherheitslücken potenziell enorm waren, gibt es laut Moovit keine Hinweise darauf, dass böswillige Hacker diese Fehler gefunden und ausgenutzt haben. Attias sagte, dass er alle gefundenen Fehler im September 2022 dem Unternehmen gemeldet habe und das Unternehmen sie anschließend behoben habe.
„Moovit war sich des Problems bewusst und hat es behoben, als es gemeldet wurde, und hat sofort Schritte unternommen, um die Behebung abzuschließen“, sagte Moovit-Sprecherin Sharon Kaslassi gegenüber Tech. „Die Schwachstellen sind längst behoben und es sind keine Maßnahmen des Kunden erforderlich. Es ist wichtig zu beachten, dass keine böswilligen Akteure diese Probleme ausgenutzt haben, um auf Kundendaten zuzugreifen. Darüber hinaus wurden keine Kreditkarteninformationen offengelegt, da Moovit und Moovit-Pango keine Kreditkarteninformationen speichern.“
Kaslassi sagte auch, dass „der für diese Ergebnisse relevante Ticketverkaufsdienst nur in Israel aktiv ist“.
„Nach unseren Unterlagen haben weder Safebreach noch sonst jemand Kundendaten innerhalb oder außerhalb Israels ausgenutzt“, fügte der Sprecher hinzu.
Als Reaktion auf die Kommentare von Moovit sagte Attias, dass er und seine Kollegen „glauben, wir hätten jedem Kunden, nicht nur israelischen Kunden, eine Gebühr berechnen können.“ Wir haben in ihren API-Anfragen keinen Unterschied zwischen israelischen und nicht-israelischen Kunden festgestellt.“
Lesen Sie mehr von Black Hat: