D’après un expert en sécurité, des pirates auraient eu la possibilité d’exploiter les comptes d’utilisateurs de Moovit. L’accès aux comptes leur permet d’obtenir des trajets gratuits et d’accéder aux informations personnelles des utilisateurs.
Omer Attias, un chercheur en sécurité chez SafeBreach, a identifié trois failles dans l’application Moovit. Ces failles auraient permis à Attias de collecter les données d’enregistrement des nouveaux utilisateurs du monde entier, incluant les coordonnées des titulaires de comptes. Dont des numéros de téléphone, des adresses e-mail, des domiciles ainsi que les quatre derniers chiffres des cartes de crédit des utilisateurs. Plus problématique encore, ces bugs auraient permis à Attias de prendre le contrôle des comptes d’autres individus, leur donnant ainsi accès à leurs cartes de crédit pour régler ses propres trajets.
L’attaque parfaite selon Attias
Cette chaîne d’exploits aurait pu être exécutée sans être détectée par la victime. D’après Attias, ce serait l‘attaque parfaite si les victimes ne détectent pas les frais indésirables débités de leur carte de crédit.
« Nous pouvons entièrement usurper l’identité des utilisateurs et cela sans nous déconnecter des comptes. C’est incroyable, nous avons la capacité d’exécuter toutes les opérations depuis différents comptes, y compris l’achat de billets de train », a affirmé Attias. « Et le plus fou, c’est que nous pouvons accéder à toutes les informations personnelles des utilisateurs », a-t-il ajouté.
Pour illustrer l’ampleur des failles, Attias a conçu une interface personnalisée lui permettant de prendre le contrôle de comptes d’autres individus en seulement quelques clics. Bien qu’Attias n’ait testé ses exploits qu’en Israël, il a déclaré que ces méthodes auraient très probablement fonctionné dans d’autres villes, compte tenu de la portée mondiale de Moovit.
Bug de Moovit : la firme nie l’existence
À titre d’information, Intel a acquis Moovit en 2020 pour une somme de 900 millions de dollars. L’application permet facilement de trouver des itinéraires, ou encore de consulter les plans de transport public. C’est aussi grâce à Moovit que l’on peut acheter et/ou utiliser les billets achetés. Récemment, la start up prévoit de desservir jusqu’à 1,7 milliard de passagers dans 3 500 villes réparties dans 112 pays.
Malgré le potentiel d’impact majeur de ces vulnérabilités, Moovit a souligné qu’aucune preuve n’indiquait qu’une tierce partie malveillante avait découvert et exploité ces failles. Attias a signalé ces vulnérabilités à l’entreprise en septembre 2022, et elles ont été corrigées par la suite.
« Moovit a déjà pris la peine de corriger le bug après en avoir pris connaissance. Elle a pris des mesures immédiates dans le but de corriger le problème », a déclaré Sharon Kaslassi, porte-parole de Moovit. « Les clients n’ont pas à mener une action particulière, étant donné que les failles ont déjà été corrigées. Il convient également de rappeler qu’aucun acteur malveillant n’a profité de ces problèmes. Par ailleurs, aucun renseignement de carte de crédit n’a été exposé car Moovit et Moovit-Pango applique une politique stricte. Celle de ne pas conserver ces informations dans le dossier », ajoute Kaslassi.
Kaslassi a également noté que le service de billetterie concerné par ces découvertes n’est actif qu’en Israël. Cependant, ni Safebreach ni aucune autre personne n’a profité des données des clients, que ce soit en Israël ou dans d’autres pays.
- Partager l'article :