עומר אטיאס – חוקר אבטחה בחברת SafeBreach, טוען כי מצא שלוש נקודות תורפה באפליקציית Moovit, שאפשרו לו לאסוף פרטי רישום של משתמשים חדשים בכל רחבי העולם – כולל מספרי טלפון, כתובות מייל, כתובות מגורים וארבע הספרות האחרונות של כרטיסי אשראי. גרוע מכל, יכולים פגמי אבטחה אלו לאפשר השתלטות על חשבונות משתמשי האפליקצייה וכתוצאה מכך, על כרטיסי האשראי שלהם כדי לשלם עבור נסיעות שאינן שלהם.
אטיאס מכנה זאת המתקפה המושלמת, היות וניתן היה לבצע את כל שרשרת הניצול מבלי שהמשתמש יגלה זאת, מלבד העובדה שהוא יראה חיובים לא רצויים בכרטיס האשראי שלו: "אנחנו יכולים להתחזות לחשבונות באופן מלא. זה מטורף! למעשה יש לנו את היכולת לבצע את כל הפעולות בשם חשבונות משתמשים שונים, כולל הזמנת כרטיסי רכבת", אמר אטיאס בראיון לאתר TechCrunch לקראת ההרצאה שלו בכנס הפריצה של Def Con בלאס וגאס והוסיף: "בנוסף, אנחנו יכולים לגשת לכל המידע האישי של המשתמשים."
כדי להדגים את ההשפעה של הבאגים שמצא, יצר אטיאס ממשק שאפשר לו להשתלט על חשבונות משתמשי Moovit. בעוד שאטיאס אמר שהוא בדק את הפגם רק בישראל, הוא אמר שלדעתו זה יכול לעבוד בערים אחרות, בהתחשב בעובדה ש- Moovit פועלת בכל העולם.
Moovit הינה סטארטאפ ישראלי שנרכש על ידי אינטל ב- 2020 תמורת 900 מיליון דולר. האפליקציה מאפשרת למשתמשים לאתר מסלולים ולצפות במפות של מערכות התחבורה הציבורית, כמו גם לרכוש כרטיסים ולהשתמש בהם. האפליקציה נמצאת בשימוש נרחב ברחבי העולם ו- Moovit טוענת שהיא משרתת 1.7 מיליארד אנשים ב- 3,500 ערים ב- 112 מדינות.
בעוד שההשפעה של פגיעויות אבטחה אלו הייתה עלולה להיות מסיבית, אמרה Moovit שאין ראיות לכך שהאקרים איתרו את הפגמים וניצלו אותם. אטיאס אמר שהוא דיווח ל- Moovit על כל הבאגים שמצא בספטמבר 2022 והחברה תיקנה אותם לאחר מכן.
