image

Fietsen verhuurdienst waren door lek in app gratis mee te nemen

vrijdag 21 september 2018, 15:09 door Redactie, 2 reacties

Fietsen van de Canadese verhuurdienst Dropbike waren door een beveiligingslek in de app gratis door kwaadwillenden mee te nemen. Daarnaast bleek het bedrijf de gegevens van zo'n 22.000 klanten te lekken. Dropbike omschrijft zichzelf als een "smart bike sharing" systeem.

Klanten kunnen via de Dropbike-app een beschikbare fiets in de buurt vinden en vervolgens de qr-code op de fiets scannen om die van slot te halen. Vervolgens wordt er per uur een bedrag in rekening gebracht. Software-engineer Tristan Rice besloot een eigen versie van de Dropbike-app te maken, gebaseerd op het officiële APK-bestand en de API van Dropbike.

Het lukte Rice om met zijn eigen app de fiets van slot te halen. Opmerkelijk genoeg werd dit niet door fietsverhuurdienst geregistreerd, mogelijk door een fout aan de serverkant. Via een paar regels code bleek het mogelijk om elke fiets van Dropbike van slot te halen en gratis te gebruiken of mee te nemen. Daarnaast ontdekte Rice in de code een verwijzing naar de bijna 22.000 geregistreerde klanten. Via de API van het bedrijf kon van alle klanten de naam, e-mailadres, telefoonnummer, locatie en ip-adres worden achterhaald.

De software-engineer waarschuwde Dropbike op 18 september. Een dag later waren de problemen verholpen. Rice merkt op dat hij geen beveiligingsexpert is en niet eens naar kwetsbaarheden zocht. "Als dit voor mij mogelijk was, weet ik zeker dat een kwaadwillende aanvaller dit ook had gekund met mogelijk veel ergere gevolgen."

Reacties (2)
21-09-2018, 20:14 door Anoniem
Een bloeiende carrière in de mobile security lacht ons toe als infosec experts :))))
24-09-2018, 09:05 door Anoniem
hadden ze maar een smart-bike-chain systeem gebruikt, dan was elk probleem opgelost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.