用 Moovit 運輸應用程式的漏洞讓駭客免費搭乘

駭客在運輸應用程式 Moovit 中發現漏洞，獲得免費搭乘

安全研究人員發現 Moovit 應用程式存在漏洞

根據一位安全研究人員的說法，駭客可能會利用一款熱門的運輸應用程式的使用者帳戶來獲得免費搭乘和存取他人的個人資訊。SafeBreach 的安全研究人員 Omer Attias 表示在 Moovit 應用程式中發現了三個漏洞，這些漏洞使他能夠從世界各地收集新註冊使用者的註冊資訊，包括手機號碼、郵件位址、家庭位址和信用卡的最後四位數位。最糟糕的是，這些漏洞還可能讓他接管他人的帳戶，因此也就擁有了他們的信用卡，可以用來支付自己的乘車費用。這一系列攻擊可以在目標毫不知情的情況下進行，除非他們在信用卡上看到了不明消費。

漏洞的影響及可能性

Attias 表示這是一次“完美的攻擊”。他在接受 TechCrunch 的採訪時說：“我們可以完全冒充帳戶，而不會使其斷開存取。這真是瘋狂，我們實際上有能力代表不同的帳戶進行所有操作，包括訂購火車票。”此外我們還可以存取他們的所有個人資訊。Attias 為了展示他發現的漏洞的影響，建立了一個定制介面，只需點選幾下，他就能接管他人的帳戶。儘管 Attias 表示他只在以色列測試了自己的攻擊，但他認為在其他城市也可能產生同樣的效果，因為 Moovit 在全球範圍內運營。Moovit 是一家以色列新創公司，於 2020 年以 9 億美元的價格被英特爾收購。該應用程式允許使用者找到路線，檢視公共交通系統的地圖以及購買和使用車票。該應用程式及其基礎技術在全球範圍內廣泛使用：Moovit 聲稱在 112 個國家的 3500 個城市中為 17 億搭乘者提供服務。

漏洞已被修復且未被利用

儘管這些漏洞的影響可能非常嚴重，但 Moovit 表示沒有證據表明有惡意的駭客發現並利用了這些漏洞。Attias 表示他在 2022 年 9 月向該公司報告了他發現的所有漏洞，並且該公司隨後修復了這些漏洞。Moovit 發言人 Sharon Kaslassi 告訴 TechCrunch：“Moovit 在報告問題時已經意識到並正在解決問題，並立即採取措施完成修復。”Kaslassi 還表示：“這些漏洞早就得到修復，不需要任何客戶採取行動。需要注意的是，沒有惡意行為者利用這些問題來存取客戶資料。此外由於 Moovit 和 Moovit-Pango 並不儲存信用卡訊息，因此也沒有信用卡訊息外洩。”Kaslassi 還表示：“與這些發現相關的票務服務只在以色列境內有效。”該發言人補充說：“根據我們的記錄，Safebreach 或其他任何人都沒有利用以色列境內或境外的任何顧客資料。”對於 Moovit 的評論，Attias 則表示他和他的同事“認為我們可以向所有顧客收費，不僅限於以色列的顧客。在他們的 API 請求中，我們沒有看到以色列和非以色列顧客之間有任何不同。”

編者評論

Moovit 這款運輸應用程式所存在的漏洞引發了嚴重關切。隨著數位科技的發展，人們越來越依賴運輸應用程式來提供便利的出行體驗。然而這種便利性也伴隨著安全和隱私風險。這次的漏洞從一個具體的例子中彰顯了這種風險的現實性。

個人隱私和資料安全的重要性

個人隱私和資料安全是當今數位時代下必須嚴肅對待的問題。人們向各種應用程式和網站提供了大量的個人訊息，包括個人識別訊息、聯絡方式和金融資料。這些訊息的安全性和隱私保護至關重要。如今安全漏洞和駭客攻擊時有發生，使得我們的個人資料和隱私日益受到威脅。

公司應採取的保護措施

對於像 Moovit 這樣的公司來說保護使用者的個人訊息和資料安全是至關重要的。公司應該投資於安全測試和漏洞修復，以確保他們的應用程式和系統能夠抵禦潛在的駭客攻擊。此外公司還應該定期進行安全審查，確保他們的安全措施仍然有效並與最新的安全標準保持一致。

使用者應該採取的預防措施

對使用者來說保護個人訊息和資料的安全是一種責任。在使用任何應用程式或網站時，使用者應該儘量減少提供個人識別訊息和敏感訊息的範圍。同時使用者應該密切關注應用程式公司的隱私政策和資料安全措施，確保他們的訊息得到適當的保護。

結論

Moovit 這次的安全漏洞提醒著我們個人隱私和資料安全的重要性。這不僅是一個個案，也是一個警示：我們必須將資料安全放在首位，既是作為企業和網站提供者，也是作為個人。只有進行全面的保護措施和加固個人的安全意識，才能在現代科技的世界中維護個人和社會的利益。

Hacker-Moovit,運輸應用程式,漏洞,駭客,免費搭乘

延伸閱讀

• Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
• 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司，保護蘋果裝置
• 聯合健康稱駭客竊取健康資料：影響美國大部分人口
• 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
• 帕羅奧圖網路防火牆漏洞遭攻擊，數千家公司面臨新的災害
• 烏克蘭網路警察如何對抗俄羅斯駭客
• 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
• 寶可夢因駭客嘗試後重設一些使用者密碼
• 美國國家安全域性表示正在追蹤 Ivanti 網路攻擊，駭客瞄準美國國防領域
• 英國水務巨擘 Southern Water 稱駭客竊取數十萬客戶個人資料