Posté le août 13, 2023 à 6:25

DES FAILLES DE SÉCURITÉ SUR MOOVIT POURRAIENT AVOIR PERMIS À DES HACKERS DE SE DÉPLACER GRATUITEMENT ET D’ACCÉDER AUX DONNÉES DES UTILISATEURS

Des hackers auraient pu obtenir un accès non autorisé aux comptes d’utilisateurs d’une application de transport leader, Moovit. Selon des chercheurs en cybersécurité, les hackers auraient pu exploiter cette faille de sécurité pour se faire offrir des trajets gratuits et accéder aux informations personnelles des personnes déjà inscrites sur l’appli.

Des hackers ont exploité des failles dans l’application Moovit pour obtenir des trajets gratuits

Un chercheur en sécurité de SafeBreach, connu sous le nom d’Omer Attias, a détecté les vulnérabilités en question. Le chercheur a déclaré avoir détecté trois failles de sécurité dans l’application qui lui ont permis de collecter des informations sur les utilisateurs. Ces failles ont permis à Attias de recueillir les informations d’enregistrement des utilisateurs de Moovit dans le monde entier.

L’exploitation de ces failles a notamment permis d’accéder aux numéros de téléphone portable, aux adresses électroniques et aux adresses personnelles des utilisateurs. Les failles permettent aussi d’accéder aux quatre derniers chiffres des cartes de crédit. Les failles représentent également un danger pour les comptes d’utilisateurs, car elles peuvent être utilisées pour détourner les comptes et en prendre le contrôle.

Si les failles de sécurité étaient exploitées, un hacker pourrait en outre utiliser les détails de la carte de crédit pour payer ses trajets. Les exploits possibles grâce à ces failles ont pu être réalisés sans que la cible ne le découvre. La seule trace de ces exploits est le prélèvement indésirable sur les cartes de crédit des utilisateurs. Selon Attias, ce piratage était « l’attaque parfaite » car il était furtif.

Lors d’un entretien avec TechCrunch, Attias a noté qu’un hacker pouvait prendre le contrôle d’un compte sans avoir à le fermer. Attias a prononcé un discours lors de la conférence sur le piratage informatique Def Con, dans lequel il a donné plus de détails sur ces failles de sécurité et leur danger.

« Nous pouvons totalement usurper l’identité d’un compte sans le déconnecter. C’est fou, nous avons en fait la capacité d’effectuer toutes les opérations au nom de différents comptes, y compris la commande de billets de train », a déclaré Attias. « En outre, nous pouvons accéder à toutes leurs informations personnelles.

Le chercheur a par ailleurs mis en place une interface personnalisée pour illustrer les effets des failles de sécurité qu’il a détectées. Cette interface personnalisée lui a permis de prendre le contrôle de comptes d’utilisateurs en quelques clics. Attias a indiqué qu’il avait testé l’impact potentiel de ces vulnérabilités exclusivement en Israël. Cependant, il a également noté qu’il était probable que les failles de sécurité aient fonctionné dans d’autres villes, étant donné que l’application de transport Moovit est présente dans le monde entier.

Les failles n’ont pas été exploitées dans la nature

Moovit est une startup de transport basée en Israël. Intel a racheté la société en 2020 pour 900 millions de dollars. La startup a une présence solide dans l’industrie du transport car elle permet aux utilisateurs de trouver des itinéraires en consultant les cartes disponibles pour les systèmes de transport public.

L’application Moovit facilite aussi le processus de transport en permettant aux utilisateurs d’acheter et d’utiliser leurs billets. Compte tenu de la commodité de cette application pour les voyageurs quotidiens, elle est désormais utilisée dans le monde entier. Selon Moovit, l’application est utilisée par 1,7 milliard d’usagers dans 3 500 villes. Elle affirme également être utilisée dans 112 pays.

L’effet de ces failles de sécurité a été considérable, les chercheurs de Moovit affirmant qu’il n’y a aucune preuve que des acteurs malveillants aient détecté et exploité les vulnérabilités. Selon Attias, il a signalé les failles de sécurité à l’entreprise en septembre de l’année dernière, et celle-ci a publié un correctif pour y remédier.

Un porte-parole de l’entreprise a par ailleurs indiqué que lorsque Attias a signalé la faille, l’entreprise était déjà au courant et était en train d’apporter une solution. Le porte-parole a déclaré que les failles avaient déjà été corrigées et qu’aucune action n’était nécessaire de la part des clients puisqu’ils n’étaient plus exposés à un risque.

Le porte-parole a aussi expliqué que les acteurs malveillants n’ont pas exploité les failles de sécurité pour accéder aux données des clients. De plus, les données des cartes de crédit n’ont pas été exposées, ajoutant que l’entreprise ne stocke pas d’informations sur les cartes de crédit. Le porte-parole a également indiqué que les problèmes n’étaient actifs qu’en Israël.

Il a ajouté que SafeBreach n’avait pas exploité les données des clients en Israël ou en dehors d’Israël lors de la préparation de ses conclusions sur les failles de sécurité.

Tout en répondant aux commentaires de Moovit, Attias a noté que les chercheurs de SafeBreach pensaient que les vulnérabilités de sécurité auraient pu affecter tous les clients et pas seulement ceux d’Israël. Attias a également déclaré que les demandes d’API ne montraient aucun signe de différenciation entre les clients basés en Israël et ceux qui opèrent en dehors d’Israël.