Falha no Bilhete Único de São Paulo permite ‘recargas infinitas’
Por Renato Rodrigues, do IDG Now!
Brecha no armazenamento de dados permite que cópia virtual dos créditos seja feito no micro, e bilhete seja recarregado com software e leitora de cartões.
Uma grave falha de segurança descoberta por dois pesquisadores brasileiros permite fraudar o bilhete único de São Paulo, e pode levar à troca de 25 milhões de bilhetes ativos ainda este ano.
De acordo com reportagem de O Estado de S. Paulo, a brecha foi descoberta pelo expert Gabriel Lima, sócio da empresa de segurança da informação PontoSec. Segundo o texto, informada pelo pesquisador, a SPTrans, que administra a rede ônibus na capital, investiga a falha e decidiu fazer a troca dos bilhetes ativos.
Após estudar o armazenamento de dados do bilhete único, Lima desenvolveu um programa e, com o uso de uma leitora de cartões importada da China, foi capaz de manter o cartão recarregado infinitamente.
Segundo o texto, o sistema permite armazenar uma cópia dos créditos no computador. Com isso, o bilhete pode ser usado até o final e depois recarregado na leitora, com o uso do software. O processo é simples e leva menos de 5 segundos.
Ao “Estado”, Lima afirmou que pensou em pesquisar a tecnologia do bilhete único após saber de problemas em outras cidades do mundo. “Esse sistema foi quebrado no mundo todo. Eu pensei: ‘Só aqui que não?’ E comecei a pesquisar, fazendo a engenharia reversa para descobrir como o cartão funcionava”, disse. Segundo ele, todo o processo levou apenas três semanas, sendo feito apenas nas horas vagas.
Lima e Vinicius Camacho, sócio na PontoSec, chegaram a fazer um vídeo explicando todo o processo, de modo que a brecha pudesse ser discutida na comunidade de segurança. No entanto, após reuniões com a SPTrans, resolveram manter o vídeo em segredo.
Eles também garantiram à SPTrans que vão ajudar na pesquisa da falha e não publicarão dados que permitam a reprodução do golpe.
Procurada pela redação do IDG Now!, a assessoria de imprensa da SPTrans informou, via e-mail, apenas que foi aberta “uma sindicância para investigar a possibilidade de tentativa de fraude contra o sistema do Bilhete Único. Esta investigação deverá estar concluída em 30 dias”.
Assine nosso Feed!
- Brasileiros querem medidas de segurança nas Olimpíadas e a Copa do Mundo
- Check Point Software eleva lucro trimestreal em 18%
- ‘Vírus benéficos’ são aliados da consumerização. Saiba o que são
- Nova lei de cibersegurança poderia acabar com a nuvem
- Ameaças de malwares e spams caem, mas ataques virtuais aumentam 81%, indica estudo
Redes Sociais