Por Renato Rodrigues, do IDG Now!
Brecha no armazenamento de dados permite que cópia virtual dos créditos seja feito no micro, e bilhete seja recarregado com software e leitora de cartões.
Uma grave falha de segurança descoberta por dois pesquisadores brasileiros permite fraudar o bilhete único de São Paulo, e pode levar à troca de 25 milhões de bilhetes ativos ainda este ano.
De acordo com reportagem de O Estado de S. Paulo, a brecha foi descoberta pelo expert Gabriel Lima, sócio da empresa de segurança da informação PontoSec. Segundo o texto, informada pelo pesquisador, a SPTrans, que administra a rede ônibus na capital, investiga a falha e decidiu fazer a troca dos bilhetes ativos.
Após estudar o armazenamento de dados do bilhete único, Lima desenvolveu um programa e, com o uso de uma leitora de cartões importada da China, foi capaz de manter o cartão recarregado infinitamente.
Segundo o texto, o sistema permite armazenar uma cópia dos créditos no computador. Com isso, o bilhete pode ser usado até o final e depois recarregado na leitora, com o uso do software. O processo é simples e leva menos de 5 segundos.
Ao "Estado", Lima afirmou que pensou em pesquisar a tecnologia do bilhete único após saber de problemas em outras cidades do mundo. "Esse sistema foi quebrado no mundo todo. Eu pensei: ‘Só aqui que não?’ E comecei a pesquisar, fazendo a engenharia reversa para descobrir como o cartão funcionava", disse. Segundo ele, todo o processo levou apenas três semanas, sendo feito apenas nas horas vagas.
Lima e Vinicius Camacho, sócio na PontoSec, chegaram a fazer um vídeo explicando todo o processo, de modo que a brecha pudesse ser discutida na comunidade de segurança. No entanto, após reuniões com a SPTrans, resolveram manter o vídeo em segredo.
Eles também garantiram à SPTrans que vão ajudar na pesquisa da falha e não publicarão dados que permitam a reprodução do golpe.
Procurada pela redação do IDG Now!, a assessoria de imprensa da SPTrans informou, via e-mail, apenas que foi aberta "uma sindicância para investigar a possibilidade de tentativa de fraude contra o sistema do Bilhete Único. Esta investigação deverá estar concluída em 30 dias".
Nenhum comentário:
Postar um comentário
Seu comentário será exibido após aprovado pelo moderador. Aceitamos todas as críticas, menos ofensas pessoais sem a devida identificação do autor. Obrigado pela visita.