Ein Sicherheitsforscher hatte die Schnittstellen des weltweit aktiven Mobility-App-Anbieters Moovit untersucht und Schwachstellen entdeckt. Die erm�glichen die �bernahmen von Konten und den Kauf von Fahrscheinen auf Kosten der Nutzer.
Moovit geh�rt weltweit zu den gro�en Anbietern f�r Mobilit�tsdienste, in der App sollen m�glichst viele der lokalen Angebote f�r Fortbewegung zusammenfinden - unter anderem auch die Dienste des �PNV inklusive des Kaufes von Fahrkarten. Der Konzern gibt an, dass man in 3500 St�dten und 112 L�ndern aktiv ist und auf 1,7 Milliarden Fahrg�ste verweisen kann. Wie Omer Attias, ein Sicherheitsforscher bei SafeBreach, gegen�ber Techcrunch erl�utert, hatte er in den Systemen des Unternehmens gro�e L�cken entdeckt.
Demnach war es ihm m�glich, �ber eine dieser Schwachstellen die Anmeldedaten neuer Moovit-Benutzer aus der ganzen Welt zu sammeln - darunter Handynummern, E-Mail-Adressen, Privatadressen und die letzten vier Ziffern von Kreditkarten. Auf Basis dieser Informationen war es wiederum m�glich, die Konten der Betroffenen zu �bernehmen und f�r den Kauf von Fahrkarten zu nutzen.
"Wir k�nnen Konten vollst�ndig imitieren, ohne die Verbindung zu unterbrechen. Es ist verr�ckt, wir haben tats�chlich die M�glichkeit, alle Operationen im Namen verschiedener Konten durchzuf�hren, einschlie�lich der Bestellung von Zugtickets", so Attias in einem Interview mit TechCrunch vor seinem Vortrag auf der DefCon Hacking-Konferenz in Las Vegas.
Moovit beschwichtigt
Attias gibt an, die L�cken im September 2022 an Moovit gemeldet zu haben. Das Unternehmen selbst gibt an, zu diesem Zeitpunkt schon an einer L�sung gearbeitet zu haben, diese soll wenig sp�ter implementiert worden sein. "Die Kunden m�ssen nichts unternehmen. Es ist wichtig zu erw�hnen, dass keine b�sen Akteure diese Probleme ausgenutzt haben, um auf Kundendaten zuzugreifen", so ein Sprecher.
In einer Sache gehen die Darstellungen des Unternehmens und des Hackers aber auseinander. Moovit gibt an, dass der von diesen L�cken betroffene Ticket-Service nur in Israel aktiv sei. Dem widerspricht Attias klar: "Wir haben keinen Unterschied zwischen israelischen und nicht israelischen Kunden bei ihren API-Anfragen festgestellt."
Zusammenfassung
- Sicherheitsforscher entdeckt Schwachstellen in Moovit-App
- �bernahme von Nutzerkonten und Kauf von Fahrscheinen m�glich
- Moovit behauptet, bei Meldung bereits an L�sung gearbeitet zu haben
- Keine b�sen Akteure haben die Schwachstellen ausgenutzt, laut Moovit
- Unstimmigkeiten zwischen Moovit und Forscher �ber betroffene Regionen
- Update schon erfolgt, Nutzer m�ssen 'nichts machen'
Siehe auch:
- Microsoft nach Angriff durch chinesische Hacker am Pranger
- Hacker-Gruppe ver�ffentlicht zahlreiche Dokumente der NATO
- Neue Schufa-App unsicher: Hackerin stellt Daten Jens Spahns online
- Gestohlene Microsoft Azure-Schl�ssel verleihen Hackern "Superkraft"
- Der einst "meistgesuchte Hacker der Welt", Kevin Mitnick, ist gestorben
Author: Joshua Alvarez
Last Updated: 1698833522
Views: 1025
Rating: 4.2 / 5 (71 voted)
Reviews: 95% of readers found this page helpful
Name: Joshua Alvarez
Birthday: 2019-08-30
Address: 95889 Smith Forges Suite 638, Matthewschester, DC 27579
Phone: +3599586454476134
Job: Article Writer
Hobby: Bowling, Web Development, Crochet, Arduino, Badminton, Baking, Yoga
Introduction: My name is Joshua Alvarez, I am a tenacious, resolved, receptive, fearless, honest, accessible, proficient person who loves writing and wants to share my knowledge and understanding with you.