עומר אטיאס, חוקר אבטחה בחברת SafeBreach, אמר שהוא מצא שלוש נקודות תורפה באפליקציית Moovit, שאפשרו לו לאסוף פרטי רישום חדשים של משתמשי Moovit מכל רחבי העולם - כולל מספרי טלפון סלולרי, כתובות אימייל, כתובות בית וארבע האחרונות ספרות של כרטיסי אשראי. כל אלה איפשרו לו להשתלט על חשבונותיהם של נוסעים אחרים, ולשלם באמצעותם עבור נסיעות באפליקציה.
שרשרת הניצול הזו היתה יכולה להתקיים חודשים מבלי שהקורבן יעלה על המתרחש, שכן מלבד חיובים עודפים בכרטיס האשראי שלהם, יתר השירותים היו אמורים להיות מסופקים כרגיל ולקורבן לא היתה כל דרך לדעת שיש בעיה בחשבון. אטיאס כינה זאת "המתקפה המושלמת":
"אנחנו יכולים להתחזות לחשבונות באופן מלא, מבלי לנתק אותם. זה מטורף, למעשה יש לנו את היכולת לבצע את כל הפעולות בשם חשבונות שונים, כולל הזמנת כרטיסים לרכבת", אמר אטיאס בראיון ל-TechCrunch לקראת ההרצאה שלו בכנס Def Con בלאס וגאס.
יותר מזל משכל
למרות גודל הפדיחה, למוביט היה מזל, שכן אטיאס מעולם לא התכוון לנצל את הפירצה שמצא. במקום זה, הוא פעל בדפוס שאופייני יותר ל'האקר כובע לבן', או 'האקר לבן' - ביטוי המתייחס להאקרים שפועלים באופן עצמאי כדי לפרוץ למערכותיהן של חברות שונות, למצוא את נקודות התורפה שלהן, ואז להגיש הצעת מחיר לתיקון הנזקים.
נכון, זה לא נשמע מאוד שונה ממתקפת כופר, אבל יש שני פרטים מהותיים שמבדילים בין שתי השיטות:
- האקר לבן לרוב יזדהה בשמו (ובמקרה של אטיאס גם יעביר על זה הרצאות), בעוד האקר שחור יעשה הכל כדי להסתיר את זהותו.
- האקר שחור שימצא פרצה לרוב לא יותיר מקום למשא ומתן ויחסום מיד את הגישה למידע בדרישה מיידית לכופר. לעומתו, האקר לבן יציע פתרון אך לא יכפה אותו על הקורבן.
במילים אחרות, להאקר לבן יש מצפון בעוד שלהאקר שחור אין אלוהים. אז אם זו נשמעת לכם כמו טקטיקת שיווק מלוכלכת, דעו לכם שיותר ויותר חברות סייבר פועלות בשיטה הזו וכתוצאה הן מצליחות למנוע אסונות בסדר גודל שאתם לא רוצים להכיר. רק תחשבו מה היה קורה למיליוני הישראלים שנוסעים יום יום בתחבורה ציבורית אילו אטיאס ידע על הפירצה ולא דיווח עליה?
רק בישראל?
במוביט מיהרו להרגיע ומסרו כי "מוביט הייתה מודעת לבעיה ותיקנה אותה כאשר היא דווחה, ונקטה בצעדים מיידיים כדי לסיים את תיקון הבעיה", אמרה דוברת Moovit, שרון קסלסי. לדבריה, שירות הכרטיסים הרלוונטי לממצאים אלו היה פעיל רק בישראל, אך החולשות תוקנו ולא נדרשת פעולה מצד הלקוחות. היא ציינה שהפירצה התגלתה בזמן, שכן אף גורם זדוני לא ניצל אותה כדי לגשת לנתוני לקוחות. בנוסף, לא נחשפו פרטי כרטיס אשראי כיוון ש-Moovit ו-Pango אינן שומרות את פרטי כרטיסי האשראי של לקוחותיהן.
אטיאס אישר את הדברים אך אמר שלמרות שהוא ביצע את הבדיקה רק בישראל, הוא סבור שזה יכול היה לעבוד גם במדינות אחרות, בהתחשב בעובדה שמוביט פועלת בכל העולם, ומשרתת 1.7 מיליארד משתמשים ב-3,500 ערים וב-112 מדינות.
עוד נמסר ממוביט כי נושא אבטחת המידע נמצא בראש סדר עדיפויות החברה וביקורות פנימיות וחיצוניות מבוצעות באופן שוטף על מנת לוודא את אבטחת נתוני המשתמשים. לדבריהם, מדובר באירוע מספטמבר 2022 בו חוקר האבטחה דיווח לחברה על נקודות תורפה. חשוב לציין כי מידע לא זלג לגורמים זדוניים, אף משתמש לא נפגע והחברה נקטה בצעדים מיידיים לתיקון הבעיה.
בשורה התחתונה: לא נגרם נזק ואיש לא נפגע, לשמחת המשתמשים והחברה.