גם היום השתמשתם בווייז כדי שתספר לכם שאתם תקועים בפקקים עם כל עמישראל בדרך לכינרת? יכול להיות שמישהו עקב אחריכם - ואחרי כל נהג אחר סביבכם - ואפילו גרם לפקק שלכם.
חוקרים מאוניברסיטת קליפורניה בסנטה-ברברה גילו פרצת אבטחה חמורה בווייז, כך מדווחת קשמיר היל ב-Fusion. הם חיברו מחשב באופן אלחוטי לסמארטפון עם האפליקציה, כך שהוא למד את הצורה בה היא מתקשרת עם שרתי השירות. לאחר מכן הם יצרו תוכנה שמשתמשת במידע הזה כדי ליצור משתמשים מזויפים, המכונים "נהגי רפאים".
משתמשים פיקטיביים כאלה מאפשרים ליצור פקקים מזויפים על ידי שליחת דיווחי מיקום מזויפים לחברה, כפי שהוכיחו החוקרים בשעות הבוקר המוקדמות, כדי לא להפריע לתנועה. זו אמנם אינה הפעם הראשונה שנמצאת דרך ליצור פקקים מזויפים באפליקציה - לפני שנתיים הצליחו שיר ידיד ומיטל בן סיני, שתי סטודנטיות מהטכניון, ליצור פקקים מדומים באמצעות משתמשים פיקטיביים שנוצרו על ידי מחשב.
אך הפרצה שגילו החוקרים מקליפורניה חמורה בהרבה, מאחר ומלבד יצירת פקקים מדומים, היא מאפשרת גם לעקוב אחרי משתמשי ווייז. כל מה שצריך לעשות הוא לפזר "נהגי רפאים" על המפה ולעקוב אחר המשתמש הרצוי לפי שם המשתמש שלו. כל עוד הוא נמצא בקרבת המשתמשים הפיקטיביים - הם יכולים לדעת היכן הוא נמצא בכל רגע נתון.
הפרצה הזו דווחה לווייז כבר לפני שנתיים, ובשנה שעברה נחשפה חלקית לקהילת אבטחת המידע. למרות זאת, עד כה לא עשתה ווייז כמעט שום מאמץ לטפל בה, מלבד עדכון שיצא בינואר 2016 ומאפשר לראות היכן נמצאים המשתמשים רק בזמן נהיגה. עד אז אפשר היה לרגל אחריהם גם בזמן שהאפליקציה פועלת ברקע ואינה נמצאת בשימוש בפועל.
הדרך היחידה להימנע ממעקב על ידי גורמים שמנצלים את הפרצה הוא להשתמש בווייז ללא שם משתמש. דיווח על פקקים מזויפים אין כנראה דרך לבדוק מלבד לנסוע על הכבישים המוצגים באדום.
מווייז נמסר בתגובה: "אנו בוחנים את הנושא שהועלה על ידי החוקרים ונמשיך לבצע צעדים הכרחיים להגן על פרטיות משתמשינו".
ווייז אינה אפליקציית התחבורה הישראלית היחידה שהתגלתה בה בעיית אבטחה. לפני כחודש וחצי חשפנו כאן ש-Gett שולחת דוחות נסיעה מפורטים של משתמשים לכל מי שמבקש אותם, בלי צורך לאשר כלום מלבד מספר הטלפון שאת פרטי השימוש שלו מבקשים מהחברה.