Selon un chercheur en sécurité, les pirates auraient pu détourner les comptes d’utilisateurs d’une application de transport populaire et les utiliser pour obtenir des trajets gratuits et accéder aux informations personnelles des personnes.
Omer Attias, chercheur en sécurité chez SafeBreach, a déclaré avoir trouvé trois vulnérabilités dans l’application Moovit, ce qui lui a permis de collecter les informations d’enregistrement des nouveaux utilisateurs de Moovit dans le monde entier, y compris les numéros de téléphone portable, les adresses e-mail, les adresses personnelles et les quatre derniers chiffres de cartes de crédit. Pire encore, les bugs auraient pu lui permettre de s’emparer des comptes d’autres personnes, et par conséquent de leurs cartes de crédit, pour payer ses propres trajets.
Toute cette chaîne d’exploits aurait pu être effectuée sans que la cible ne le découvre, à part voir des frais indésirables sur sa carte de crédit. Attias l’a appelé « l’attaque parfaite ».
« Nous pouvons entièrement usurper l’identité des comptes, sans les déconnecter. C’est fou, nous avons en fait la capacité d’effectuer toutes les opérations pour le compte de différents comptes, y compris la commande de billets de train », a déclaré Attias à TechCrunch dans une interview avant son discours à la conférence de piratage Def Con à Las Vegas. « Et en plus, nous pouvons accéder à toutes leurs informations personnelles. »
Pour démontrer l’impact des bogues qu’il a trouvés, Attias a créé une interface personnalisée qui lui a permis de prendre en charge les comptes d’autres personnes en quelques clics. Et tandis qu’Attias a déclaré qu’il n’avait testé ses exploits qu’en Israël, il a déclaré qu’il pensait que cela aurait pu fonctionner dans d’autres villes étant donné que Moovit opère partout dans le monde.
Moovit est une startup israélienne qui a été acquise par Intel en 2020 pour 900 millions de dollars. L’application permet aux utilisateurs de trouver des itinéraires et de visualiser les cartes des systèmes de transport public, ainsi que d’acheter et d’utiliser des billets. L’application et sa technologie sous-jacente sont largement utilisées dans le monde entier : Moovit prétend desservir 1,7 milliard de passagers dans 3 500 villes de 112 pays.
Bien que l’impact de ces vulnérabilités soit potentiellement massif, Moovit a déclaré qu’il n’y avait aucune preuve que des pirates malveillants aient trouvé et exploité ces bogues. Attias a déclaré qu’il avait signalé tous les bogues qu’il avait trouvés à l’entreprise en septembre 2022, et que l’entreprise les avait ensuite corrigés.
« Moovit était au courant et a corrigé le problème lorsqu’il a été signalé, et a pris des mesures immédiates pour finir de corriger le problème », a déclaré à TechCrunch la porte-parole de Moovit, Sharon Kaslassi. « Les vulnérabilités ont été corrigées depuis longtemps et aucune action du client n’est requise. Il est important de noter qu’aucun acteur malveillant n’a profité de ces problèmes pour accéder aux données des clients. De plus, aucune information de carte de crédit n’a été exposée car Moovit et Moovit-Pango ne conservent pas les informations de carte de crédit dans le dossier.
Kaslassi a également déclaré que « le service de billetterie pertinent pour ces découvertes n’est actif qu’en Israël ».
« Selon nos archives, ni Safebreach ni personne d’autre n’a profité des données des clients à l’intérieur ou à l’extérieur d’Israël », a ajouté le porte-parole.
En réponse aux commentaires de Moovit, Attias a déclaré que lui et ses collègues « pensent que nous aurions pu facturer n’importe quel client, sans se limiter aux clients israéliens. Nous n’avons vu aucun différenciateur entre les clients israéliens et non israéliens dans leurs demandes d’API. »
En savoir plus sur Black Hat :