אפליקציית מוביט | צילום: בלומברג
"פרצת אבטחה במוביט אפשרה להאקרים לבצע נסיעות בחינם"
חוקר הסייבר עומר אטיאס אמר כי זיהה באפליקציה שלוש פרצות אבטחה שאפשרו לו לאסוף מידע הרשמה של משתמשים חדשים ולהשתלט על חשבונות; החברה בתגובה: "הפרצה דווחה ותוקנה בספטמבר 2022, ולא נוצלה על ידי גורמים עוינים"
שורה של פרצות אבטחה במוביט (Moovit) אפשרה לגורמים עוינים להשתלט על חשבונות משתמשים באפליקציה ולהשתמש בהם לביצוע נסיעות בחינם, ונתנה להם גישה למידע האישי של בעלי החשבונות – כך חשף חוקר הסייבר הישראלי עומר אטיאס מחברת SafeBreach בכנס אבטחת המידע Def Con, שנערך השבוע בלאס וגאס. במוביט אומרים בתגובה שמדובר בפרצה שדווחה ותוקנה כבר בספטמבר 2022, ולא נוצלה לרעה על ידי גורמים זדוניים.
לדברי אטיאס, הוא זיהה באפליקציית התחבורה הציבורית הפופולרית, שנמצאת בבעלות מובילאיי, שלוש פרצות אבטחה שאפשרו לו לאסוף מידע הרשמה של משתמשים חדשים, כולל מספרי טלפון, כתובות אימייל, כתובות פיזיות וארבע ספרות אחרונות של כרטיס אשראי (מידע שמשמש לאימות זהות בשירותים רבים). בנוסף אחת הפרצות גם אפשרה לו להשתלט על חשבונות, ולהשתמש בהם כדי לשלם על נסיעות עם כרטיסי האשראי של המשתמש ששמורים בחשבון. המתקפה כולה ניתנה לביצוע ללא ידיעת המשתמש, שהיה יכול לחשוד בה רק דרך זיהוי חיובים לא מוכרים בכרטיס האשראי שלו.
"זו המתקפה המושלמת", אמר אטיאס לאתר TechCrunch. "אנחנו יכולים להשתלט לגמרי על חשבונות בלי לנתק אותם. זה מטורף, יש לנו את היכולת לבצע את כל הפעולות האלו בשם החשבונות, כולל הזמנת כרטיסי רכבת. בנוסף, אנחנו יכולים לגשת לכל המידע האישי שלהם".
מוביט פעילה ב-3,500 ערים ב-112 מדינות, ולדברי החברה משרתת 1.7 מיליארד נוסעים. אף שאטיאס בדק את המתקפה רק על חשבונות משתמש בישראל, הוא העריך שהיא יכולה לעבוד גם באזורי פעילות אחרים של האפליקציה.
ממוביט נמסר בתגובה ל"כלכליסט": "נושא אבטחת המידע נמצא בראש סדר עדיפויות החברה, וביקורות פנימיות וחיצוניות מבוצעות באופן שוטף כדי לוודא את אבטחת נתוני המשתמשים. מדובר באירוע מספטמבר 2022 בו דיווח חוקר אבטחה לחברה על נקודות תורפה. מידע לא זלג לגורמים זדוניים, שום משתמש לא נפגע, והחברה נקטה צעדים מידיים לתיקון הבעיה".