Ein Sicherheitsforscher hatte die Schnittstellen des weltweit aktiven Mobility-App-Anbieters Moovit untersucht und Schwachstellen entdeckt. Die ermöglichen die Übernahmen von Konten und den Kauf von Fahrscheinen auf Kosten der Nutzer.
Moovit gehört weltweit zu den großen Anbietern für Mobilitätsdienste, in der App sollen möglichst viele der lokalen Angebote für Fortbewegung zusammenfinden - unter anderem auch die Dienste des ÖPNV inklusive des Kaufes von Fahrkarten. Der Konzern gibt an, dass man in 3500 Städten und 112 Ländern aktiv ist und auf 1,7 Milliarden Fahrgäste verweisen kann. Wie Omer Attias, ein Sicherheitsforscher bei SafeBreach, gegenüber Techcrunch erläutert, hatte er in den Systemen des Unternehmens große Lücken entdeckt.
Demnach war es ihm möglich, über eine dieser Schwachstellen die Anmeldedaten neuer Moovit-Benutzer aus der ganzen Welt zu sammeln - darunter Handynummern, E-Mail-Adressen, Privatadressen und die letzten vier Ziffern von Kreditkarten. Auf Basis dieser Informationen war es wiederum möglich, die Konten der Betroffenen zu übernehmen und für den Kauf von Fahrkarten zu nutzen.
"Wir können Konten vollständig imitieren, ohne die Verbindung zu unterbrechen. Es ist verrückt, wir haben tatsächlich die Möglichkeit, alle Operationen im Namen verschiedener Konten durchzuführen, einschließlich der Bestellung von Zugtickets", so Attias in einem Interview mit TechCrunch vor seinem Vortrag auf der DefCon Hacking-Konferenz in Las Vegas.
In einer Sache gehen die Darstellungen des Unternehmens und des Hackers aber auseinander. Moovit gibt an, dass der von diesen Lücken betroffene Ticket-Service nur in Israel aktiv sei. Dem widerspricht Attias klar: "Wir haben keinen Unterschied zwischen israelischen und nicht israelischen Kunden bei ihren API-Anfragen festgestellt."
Zusammenfassung
Quelle; winfuture
Moovit gehört weltweit zu den großen Anbietern für Mobilitätsdienste, in der App sollen möglichst viele der lokalen Angebote für Fortbewegung zusammenfinden - unter anderem auch die Dienste des ÖPNV inklusive des Kaufes von Fahrkarten. Der Konzern gibt an, dass man in 3500 Städten und 112 Ländern aktiv ist und auf 1,7 Milliarden Fahrgäste verweisen kann. Wie Omer Attias, ein Sicherheitsforscher bei SafeBreach, gegenüber Techcrunch erläutert, hatte er in den Systemen des Unternehmens große Lücken entdeckt.
Demnach war es ihm möglich, über eine dieser Schwachstellen die Anmeldedaten neuer Moovit-Benutzer aus der ganzen Welt zu sammeln - darunter Handynummern, E-Mail-Adressen, Privatadressen und die letzten vier Ziffern von Kreditkarten. Auf Basis dieser Informationen war es wiederum möglich, die Konten der Betroffenen zu übernehmen und für den Kauf von Fahrkarten zu nutzen.
"Wir können Konten vollständig imitieren, ohne die Verbindung zu unterbrechen. Es ist verrückt, wir haben tatsächlich die Möglichkeit, alle Operationen im Namen verschiedener Konten durchzuführen, einschließlich der Bestellung von Zugtickets", so Attias in einem Interview mit TechCrunch vor seinem Vortrag auf der DefCon Hacking-Konferenz in Las Vegas.
Moovit beschwichtigt
Attias gibt an, die Lücken im September 2022 an Moovit gemeldet zu haben. Das Unternehmen selbst gibt an, zu diesem Zeitpunkt schon an einer Lösung gearbeitet zu haben, diese soll wenig später implementiert worden sein. "Die Kunden müssen nichts unternehmen. Es ist wichtig zu erwähnen, dass keine bösen Akteure diese Probleme ausgenutzt haben, um auf Kundendaten zuzugreifen", so ein Sprecher.In einer Sache gehen die Darstellungen des Unternehmens und des Hackers aber auseinander. Moovit gibt an, dass der von diesen Lücken betroffene Ticket-Service nur in Israel aktiv sei. Dem widerspricht Attias klar: "Wir haben keinen Unterschied zwischen israelischen und nicht israelischen Kunden bei ihren API-Anfragen festgestellt."
Zusammenfassung
- Sicherheitsforscher entdeckt Schwachstellen in Moovit-App
- Übernahme von Nutzerkonten und Kauf von Fahrscheinen möglich
- Moovit behauptet, bei Meldung bereits an Lösung gearbeitet zu haben
- Keine bösen Akteure haben die Schwachstellen ausgenutzt, laut Moovit
- Unstimmigkeiten zwischen Moovit und Forscher über betroffene Regionen
- Update schon erfolgt, Nutzer müssen 'nichts machen'
Quelle; winfuture
