Moovit es una aplicación móvil que proporciona información en tiempo real sobre el transporte público, como autobuses, trenes, tranvías y metros, en diversas ciudades de todo el mundo. Con el fin de ayudar a los usuarios a planificar sus rutas utilizando el transporte público y alertas en tiempo real, es una de las apps más usadas por los que nos tenemos que mover a diario por las grandes ciudades.
La mala noticia es que es una app con demasiados bugs. De hecho, acaba de saltar la noticia de que los hackers podrían haber secuestrado las cuentas de miles de usuarios de la popular aplicación de transporte y haberlas utilizado para obtener viajes gratuitos, además de para acceder a la información personal de los clientes de la plataforma.
Omer Attias, un investigador de seguridad de SafeBreach, dijo que encontró tres vulnerabilidades en Moovit, lo que le permitió recopilar la información de registro de nuevos usuarios de la app de todo el mundo, incluidos los números de teléfono móvil, las direcciones de correo electrónico, las direcciones de casa y los últimos cuatro dígitos de las tarjetas de crédito. Lo peor de todo es que los bugs podrían haberle permitido hacerse cargo de las cuentas de otras personas y, en consecuencia, de sus tarjetas de crédito, para pagar sus propios viajes.
Pero, si esto ya de por sí es nefasto, peor aún es que todas estas actividades ilegales podrían haberse realizado sin que víctima lo descubriera, más allá de encontrarse con cargos no identificados en su tarjeta de crédito. Attias lo llamó ‘el ataque perfecto’.
Podemos usar todo tipo de cuentas por completo, sin desconectarlas. Es una locura, en realidad tenemos la capacidad de realizar todas las operaciones en nombre de diferentes cuentas, incluido el pedido de billetes de tren. Y además, podemos acceder a toda su información personal.
El investigador de seguridad dijo que probó este método para acceder a las cuentas de los usuarios solo en Israel, pero cree que podría haber funcionado en otras ciudades, dado que Moovit opera en todo el mundo.
¿Desinstalo la app?
Si bien el impacto de estas vulnerabilidades fue potencialmente masivo, Moovit dijo que no hay evidencia de que los hackers hayan encontrado y explotado estos errores. Attias dijo que informó de todos los errores que encontró a la empresa en septiembre de 2022, por lo que la misma ha tenido tiempo más que de sobra para corregirlos.
Moovit estaba al tanto y rectificando el problema cuando se informó, y tomó medidas inmediatas para terminar de corregir el problema. Las vulnerabilidades se han corregido hace mucho tiempo y no se requiere ninguna acción por parte del cliente. Es importante tener en cuenta que ningún hacker, que sepamos, se aprovechó de estos problemas para acceder a los datos de los clientes. Además, no se expuso información de la tarjeta de crédito, ya que Moovit y Moovit-Pango no guardan la información de la tarjeta de crédito en el archivo.
Dado que todos estos bugs han sido solucionados, parece que puedes seguir usando la app con normalidad.